AMD po cichu usunęło szyfrowanie pamięci TSME z konsumenckich Ryzenów. Oto jak to odkryto.

Jak odkryto i potwierdzono zmianę

Odkrycie przyszło z nieoczekiwanego źródła: od użytkownika Linuksa, dbającego o prywatność.

Odkrycie: Badacz bezpieczeństwa Ben Kilpatrick zauważył, że TSME zniknął z jego systemu Ryzen po aktualizacji firmware'u. Rozpoczął wielomiesięczne śledztwo, które śledził na GitHubie .

Potwierdzenie: Kilpatrick uruchomił Host Security ID (HSI) — narzędzie do audytu firmware'u — które poinformowało, że TSME nie jest już obsługiwany, mimo że miał opcję w BIOS-ie, aby go włączyć w poprzednich wersjach firmware'u . Zmianę powiązano konkretnie z AGESA 1.2.7.0. Producent płyt głównych, MSI, później potwierdził, że TSME był dostępny w AGESA 1.2.6.0, ale został wyłączony w nowszej wersji .

Dlaczego było to trudne do wykrycia: W systemach Windows użytkownicy nie mieli praktycznej możliwości zauważenia zmiany. Na Linuksie wykrycie wymagało uruchomienia specjalistycznych narzędzi audytowych . Gdyby nie dociekliwość Kilpatricka, zmiana mogłaby pozostać niezauważona na zawsze .

Reakcja społeczności i odpowiedź firmy

Reakcja społeczności: Oburzenie było natychmiastowe i powszechne.

• Badacze bezpieczeństwa i entuzjaści nazwali ciche usunięcie poważnym naruszeniem zaufania .
• Historia trafiła na szczyt Hacker News 18 czerwca 2026 roku jako najczęściej dyskutowany temat .
• Krytyka skupiła się na całkowitym braku przejrzystości: brak ostrzeżenia bezpieczeństwa, brak wpisu w changelogu, a inżynierowie AMD początkowo milczeli, gdy ich pytano .

Oficjalna odpowiedź AMD: Po fali krytyki AMD wydało oświadczenie:

„W przypadku niektórych procesorów stacjonarnych non-PRO z serii Ryzen 9000 opcja BIOS do włączenia Memory Guard była wcześniej dostępna, ale została usunięta w ostatniej aktualizacji. Na podstawie cennych opinii społeczności przywrócimy tę opcję w nadchodzącej aktualizacji BIOS w lipcu.”

AMD potwierdziło, że:

• Serie Ryzen PRO zachowają TSME na stałe .
• Procesory stacjonarne non-PRO Ryzen 9000 odzyskają TSME poprzez aktualizację BIOS w lipcu 2026 .

AMD oświadczyło, że „bardzo ceni bezpieczeństwo danych klientów”, ale nie podało publicznie przyczyny usunięcia TSME — czy była to decyzja licencyjna, posunięcie związane z segmentacją produktów, czy wewnętrzny błąd .

Szerszy wzorzec: problem AMD z przejrzystością firmware'u

Incydent z TSME nie jest odosobnionym zdarzeniem. Wpisuje się we wzorzec zmian wpływających na bezpieczeństwo, wprowadzanych po cichu za pośrednictwem zastrzeżonego firmware'u AGESA:

• Podatność AGESA DDR5 PMIC (CVE-2025-48516, maj 2026): Niebezpieczna domyślna konfiguracja w bootloaderze AGESA dla modułów pamięci DDR5 mogła pozwolić na lokalną eskalację uprawnień i trwałe odmówienie usługi .

• Błąd mikro kodu Zen 5 (CVE-2025-62626, 2025): Poważna podatność w Zen 5 generująca potencjalnie przewidywalne klucze liczb losowych (RDSEED), załatana aktualizacją firmware'u AGESA .

• CVE-2024-56161 (luty 2025): Krytyczna luka (CVSS 7.2), która mogła złamać ochronę Secure Encrypted Virtualization (SEV-SNP), umożliwiając złośliwe wstrzykiwanie mikro kodu z powodu nieodpowiedniej weryfikacji podpisu .

• Przepełnienie bufora bootloadera AGESA (CVE-2025-29951): Podatność w bootloaderze AMD Secure Processor (ASP) umożliwiająca eskalację uprawnień i wykonanie dowolnego kodu .

• Długotrwałe problemy z przejrzystością AGESA: AMD spotkało się z krytyką za zamknięty kod źródłowy firmware'u AGESA — będący zaprzeczeniem obiecanego od 2023 roku otwartego firmware'u AMD openSIL . Ten brak widoczności oznacza, że zmiany bezpieczeństwa, takie jak usunięcie TSME, mogą być wprowadzane bez niezależnego audytu.

Co to oznacza na przyszłość

Usunięcie TSME wpisuje się w szerszy wzorzec: zmiany wpływające na bezpieczeństwo są wprowadzane po cichu przez zastrzeżony firmware AGESA, odkrywane tylko przez niezależnych badaczy, a następnie następuje reaktywna odpowiedź dopiero po presji publicznej. Incydent ten odnowił apele o przyspieszenie przez AMD przejścia na inicjatywę otwartego firmware'u openSIL . Na razie użytkownicy Ryzenów powinni mieć świadomość, że funkcje bezpieczeństwa zgłaszane przez ich system mogą nie odpowiadać temu, co faktycznie dostarcza firmware — a niezależna weryfikacja może być jedynym sposobem, by mieć pewność.