AMD悄悄删了你的内存加密：TSME从消费级锐龙中消失始末

确认： Kilpatrick运行了主机安全ID（HSI），一款固件审计工具，该工具报告称TSME不再受支持——即便他在之前的固件版本上拥有启用TSME的BIOS选项。此变更被具体追溯到AGESA 1.2.7.0。主板厂商微星（MSI）后来确认，TSME在AGESA 1.2.6.0中可用，但在新版中被禁用。

为何难以检测： 在Windows系统上，用户没有实际方法看到这一变化。在Linux上，检测需要使用专门的审计工具。如果Kilpatrick没有进行调查，这一变化可能至今仍未被发现。

社区与公司回应

社区反应： 愤怒迅速而广泛地蔓延。

• 安全研究人员和爱好者称这种静默移除是对信任的严重背弃。
• 此事在2026年6月18日登上Hacker News榜首，成为最热门讨论话题。
• 批评的焦点在于完全不透明：没有安全公告，没有更新日志条目，AMD工程师在受到质询时最初选择保持沉默。

AMD的官方回应： 在舆论压力下，AMD发表声明：

“关于某些非PRO版锐龙9000系列桌面处理器，之前可用的内存保护BIOS选项在最近的更新中被移除。基于社区宝贵的反馈，我们将在7月即将发布的BIOS更新中恢复此选项。”

AMD确认：

• 锐龙PRO系列将永久保留TSME。
• 非PRO版锐龙9000桌面CPU将在2026年7月通过BIOS更新恢复TSME。

AMD表示“非常重视客户数据安全”，但至今未公开解释最初移除TSME的原因——无论是许可决策、产品线划分还是内部错误。

更广泛的模式：AMD的固件透明度问题

TSME事件并非孤立事件。它符合一个通过AMD专有AGESA固件静默进行安全相关变更的模式：

• AGESA DDR5 PMIC漏洞（CVE-2025-48516，2026年5月）： AGESA启动加载器中针对DDR5内存模块的不安全默认配置可能导致本地权限提升和永久拒绝服务。

• Zen 5微码错误（CVE-2025-62626，2025年）： Zen 5中的一个高严重性漏洞，可生成潜在可预测的随机数密钥（RDSEED），通过AGESA固件更新修复。

• CVE-2024-56161（2025年2月）： 一个关键漏洞（CVSS 7.2），可通过允许恶意微码注入来破坏安全加密虚拟化（SEV-SNP）保护。

• AGESA启动加载器缓冲区溢出（CVE-2025-29951）： AMD安全处理器（ASP）启动加载器中的一个漏洞，允许权限提升和任意代码执行。

• 长期的AGESA透明度问题： AMD因其闭源的AGESA固件而饱受批评——这与AMD自2023年以来一直承诺过渡的开源AMD openSIL固件理念背道而驰。这种缺乏可见性意味着像TSME移除这样的安全变更可能在未经独立审计的情况下悄然发生。

未来的意义

TSME移除符合一个更广泛的模式：通过专有AGESA固件静默进行安全相关变更，仅由独立研究人员发现，然后在公众压力下做出被动回应。此事件再次呼吁AMD加速向开源openSIL固件倡议的过渡。就目前而言，锐龙用户应意识到，其系统报告的安全特性可能与固件实际提供的内容不符——而独立验证可能是确保安全的唯一途径。