AMD Senyap-senyap Buang Ciri Keselamatan TSME daripada Ryzen Pengguna — Ini Kisah Sebenar

Bagaimana Perubahan Ini Dikesan dan Disahkan

Penemuan ini datang dari sumber yang tidak dijangka: seorang pengguna Linux yang mementingkan privasi.

Penemuan: Penyelidik keselamatan Ben Kilpatrick perasan TSME telah hilang daripada sistem Ryzennya selepas mengemas kini firmware. Beliau memulakan siasatan selama berbulan-bulan, yang dijejaki di GitHub .

Pengesahan: Kilpatrick menjalankan Host Security ID (HSI), alat pengauditan firmware, yang melaporkan bahawa TSME tidak lagi disokong — walaupun beliau mempunyai pilihan untuk mengaktifkannya dalam BIOS pada versi firmware sebelumnya . Perubahan itu dikesan secara khusus pada AGESA 1.2.7.0. MSI, sebuah vendor papan induk, kemudian mengesahkan bahawa TSME tersedia dalam AGESA 1.2.6.0 tetapi dinyahdayakan dalam binaan yang lebih baru .

Mengapa ia sukar dikesan: Pada sistem Windows, pengguna tidak mempunyai cara praktikal untuk melihat perubahan ini. Pada Linux, pengesanan memerlukan penggunaan alat pengauditan khusus . Sekiranya Kilpatrick tidak menyiasat, perubahan itu mungkin tidak akan dikesan selama-lamanya .

Reaksi Komuniti dan Syarikat

Reaksi komuniti: Kemarahan adalah pantas dan meluas.

• Penyelidik keselamatan dan peminat menyebut penyingkiran senyap ini sebagai satu pelanggaran kepercayaan yang serius .
• Kisah ini mencapai kedudukan teratas di Hacker News pada 18 Jun 2026, sebagai item yang paling banyak dibincangkan .
• Kritikan tertumpu pada kekurangan ketelusan sepenuhnya: tiada nasihat keselamatan, tiada catatan perubahan, dan jurutera AMD pada mulanya berdiam diri apabila didesak .

Respons rasmi AMD: Selepas kecaman hebat, AMD mengeluarkan kenyataan:

"Berkenaan dengan pemproses desktop Ryzen 9000-series bukan PRO tertentu, pilihan BIOS untuk mengaktifkan Memory Guard sebelum ini tersedia tetapi telah dialih keluar dalam kemas kini terkini. Berdasarkan maklum balas komuniti yang bernilai, kami akan mengembalikan semula pilihan ini dalam keluaran BIOS akan datang pada bulan Julai."

AMD mengesahkan bahawa:

• Siri Ryzen PRO akan mengekalkan TSME secara kekal .
• CPU Ryzen 9000 desktop bukan PRO akan mendapat TSME dikembalikan semula melalui kemas kini BIOS pada Julai 2026 .

AMD menyatakan bahawa ia "menghargai keselamatan data pelanggan," tetapi tidak menjelaskan secara terbuka mengapa TSME dialih keluar pada mulanya — sama ada ia adalah keputusan pelesenan, langkah pemisahan produk, atau kesilapan dalaman .

Corak Yang Lebih Besar: Masalah Ketelusan Firmware AMD

Insiden TSME bukanlah peristiwa terpencil. Ia sesuai dengan corak perubahan yang menjejaskan keselamatan yang dibuat secara senyap melalui firmware AGESA proprietari AMD:

• Kerentanan PMIC DDR5 AGESA (CVE-2025-48516, Mei 2026): Konfigurasi lalai yang tidak selamat dalam pemuat but AGESA untuk modul memori DDR5 boleh membenarkan peningkatan keistimewaan setempat dan penafian perkhidmatan kekal .

• Pepijat mikrokod Zen 5 (CVE-2025-62626, 2025): Kerentanan keterukan tinggi dalam Zen 5 yang menjana kunci nombor rawak (RDSEED) yang berpotensi boleh diramal, dibaiki melalui kemas kini firmware AGESA .

• CVE-2024-56161 (Feb 2025): Kecacatan kritikal (CVSS 7.2) yang boleh memecahkan perlindungan Secure Encrypted Virtualization (SEV-SNP) dengan membenarkan suntikan mikrokod berniat jahat akibat pengesahan tandatangan yang tidak mencukupi .

• Kesan limpahan penimbal pemuat but AGESA (CVE-2025-29951): Kerentanan dalam pemuat but AMD Secure Processor (ASP) yang membenarkan peningkatan keistimewaan dan pelaksanaan kod sewenang-wenang .

• Masalah ketelusan AGESA yang sudah lama: AMD telah menerima kritikan kerana firmware AGESA sumber tertutupnya — bertentangan dengan firmware AMD openSIL sumber terbuka yang telah dijanjikan untuk peralihan sejak 2023 . Kekurangan penglihatan ini bermakna perubahan keselamatan seperti penyingkiran TSME boleh terlepas tanpa pengauditan bebas.

Apa Maksudnya Untuk Masa Depan

Penyingkiran TSME sesuai dengan corak yang lebih luas: perubahan yang menjejaskan keselamatan dibuat secara senyap melalui firmware AGESA proprietari, ditemui hanya oleh penyelidik bebas, diikuti dengan respons reaktif hanya selepas tekanan awam. Insiden ini telah memperbaharui seruan untuk AMD mempercepatkan peralihannya kepada inisiatif firmware sumber terbuka openSIL . Buat masa ini, pengguna Ryzen harus sedar bahawa ciri keselamatan yang dilaporkan oleh sistem mereka mungkin tidak sepadan dengan apa yang sebenarnya dihantar oleh firmware — dan bahawa pengesahan bebas mungkin satu-satunya cara untuk memastikan.