AMD tiše odstranilo šifrování paměti z běžných Ryzen procesorů. Jak se na to přišlo?

Jak byla změna objevena a potvrzena

Objev přišel z nečekaného zdroje: od linuxového uživatele, který si zakládá na soukromí.

Objev: Bezpečnostní výzkumník Ben Kilpatrick si všiml, že TSME z jeho Ryzen systému po aktualizaci firmwaru zmizelo. Spustil několikaměsíční vyšetřování, které sledoval na GitHubu .

Potvrzení: Kilpatrick spustil nástroj pro audit firmwaru Host Security ID (HSI), který ohlásil, že TSME již není podporováno – a to přesto, že v předchozích verzích firmwaru tuto možnost v BIOSu měl povolenou . Změna byla vystopována konkrétně k verzi AGESA 1.2.7.0. Výrobce základních desek MSI později potvrdil, že TSME bylo dostupné v AGESA 1.2.6.0, ale v novějším sestavení bylo zakázáno .

Proč bylo těžké změnu odhalit: Na systémech s Windows neměl běžný uživatel prakticky žádnou možnost, jak změnu zjistit. Na Linuxu byla k detekci potřeba specializovaných auditních nástrojů . Kdyby Kilpatrick neinvestigoval, změna by pravděpodobně zůstala bez povšimnutí donekonečna .

Reakce komunity a společnosti

Reakce komunity: Rozhořčení bylo okamžité a masivní.

• Bezpečnostní výzkumníci a nadšenci označili tiché odstranění funkce za vážné porušení důvěry .
• Příběh se 18. června 2026 vyšplhal na první místo diskuzí na Hacker News .
• Kritika se soustředila na naprostý nedostatek transparentnosti: žádné bezpečnostní hlášení, žádný záznam v changelogu a inženýři AMD na dotazy zpočátku nereagovali .

Oficiální reakce AMD: Po vlně kritiky AMD vydalo prohlášení:

„Ohledně některých non-PRO desktopových procesorů řady Ryzen 9000: možnost zapnout v BIOSu funkci Memory Guard byla dříve dostupná, ale byla odstraněna v nedávné aktualizaci. Na základě cenné zpětné vazby od komunity tuto možnost obnovíme v připravované verzi BIOSu, která vyjde v červenci.“

AMD potvrdilo, že:

• Řada Ryzen PRO si funkci TSME ponechá natrvalo .
• Běžné (non-PRO) desktopové Ryzeny 9000 získají TSME zpět prostřednictvím aktualizace BIOSu v červenci 2026 .

AMD uvedlo, že „si váží bezpečnosti dat svých zákazníků“, ale dosud veřejně nevysvětlilo, proč bylo TSME vůbec odstraněno – zda šlo o rozhodnutí ohledně licencování, snahu o segmentaci produktů nebo interní chybu .

Širší souvislosti: Problém AMD s transparentností firmwaru

Incident s TSME není ojedinělý. Zapadá do vzorce změn ovlivňujících bezpečnost, které AMD provádí potichu prostřednictvím svého proprietárního firmwaru AGESA:

• Zranitelnost PMIC u DDR5 v AGESA (CVE-2025-48516, květen 2026): Nezabezpečená výchozí konfigurace v bootloaderu AGESA pro paměťové moduly DDR5 mohla umožnit eskalaci oprávnění a trvalé odmítnutí služby (DoS) .

• Chyba v mikrokódu Zen 5 (CVE-2025-62626, 2025): Závažná zranitelnost v procesorech Zen 5, která generovala potenciálně předvídatelné klíče z hardwarového generátoru náhodných čísel (RDSEED). Oprava přišla prostřednictvím aktualizace AGESA .

• CVE-2024-56161 (únor 2025): Kritická chyba (CVSS 7.2), která mohla prolomit ochranu Secure Encrypted Virtualization (SEV-SNP) tím, že umožnila vložení škodlivého mikrokódu kvůli nedostatečnému ověřování podpisů .

• Přetečení bufferu v bootloaderu AGESA (CVE-2025-29951): Zranitelnost v bootloaderu AMD Secure Processor (ASP) umožňující eskalaci oprávnění a spuštění libovolného kódu .

• Dlouhodobé problémy s transparentností AGESA: AMD je dlouhodobě kritizováno za svůj uzavřený firmware AGESA – což je pravý opak open-source firmwaru AMD openSIL, na který společnost slibuje přejít od roku 2023 . Tento nedostatek transparentnosti znamená, že bezpečnostní změny, jako je odstranění TSME, mohou proběhnout bez možnosti nezávislého auditu.

Co to znamená do budoucna

Odstranění TSME zapadá do širšího vzorce: změny ovlivňující bezpečnost jsou prováděny potichu prostřednictvím proprietárního firmwaru AGESA, objeveny jsou pouze díky nezávislým výzkumníkům a reakce přichází až po veřejném tlaku. Incident znovu oživil výzvy k tomu, aby AMD urychlilo přechod na otevřenou iniciativu openSIL . Pro uživatele Ryzenů z toho plyne ponaučení: bezpečnostní funkce, které jejich systém hlásí, nemusí odpovídat tomu, co firmware skutečně poskytuje – a nezávislé ověření může být jediným způsobem, jak si být jistý.