Fabricked đang đẩy một lời hứa quan trọng của AMD vào vùng phải kiểm chứng lại: liệu máy ảo bảo mật trên EPYC có thực sự an toàn khi chạy ở cloud không hoàn toàn đáng tin hay không. Nhóm nghiên cứu từ ETH Zurich nói họ có thể can thiệp vào giai đoạn khởi tạo để làm sai quá trình thiết lập bảo vệ của SEV-SNP, từ đó mở đường cho việc đọc, ghi bộ nhớ và giả mạo báo cáo xác thực. Điểm khó chịu nhất là lỗi không nằm ở ứng dụng hay hypervisor theo nghĩa quen thuộc, mà nằm ở tầng kết nối nội bộ Infinity Fabric và cách nó bị khóa cấu hình lúc khởi động. Với doanh nghiệp đang đổ tiền vào server AI và confidential computing, đây là câu chuyện niềm tin hạ tầng, không chỉ là một bản vá có thể cài rồi xem như xong.
Fabricked khai thác đúng khoảnh khắc SEV-SNP chưa khóa xong
Theo trang dự án Fabricked của nhóm ETH Zurich, điểm gãy nằm ở chỗ Infinity Fabric phải được cấu hình động trong lúc máy khởi động và một phần việc này do firmware hệ thống đảm nhiệm. Nếu firmware không khóa đúng các thiết lập định tuyến, kẻ vận hành hạ tầng độc hại có thể sửa đường đi của giao dịch bộ nhớ, khiến bộ xử lý bảo mật PSP thiết lập sai vùng kiểm soát truy cập của SEV-SNP. Nói gọn hơn, lớp bảo vệ bị phá ngay trước khi nó hoàn tất, nên máy ảo tưởng như đã được che chắn vẫn có thể rơi vào tình trạng bị đọc hoặc ghi trái phép mà khách thuê không dễ nhận ra.
Vì thế, vấn đề này nhạy cảm hơn nhiều so với một lỗi phần mềm thông thường. Doanh nghiệp chọn EPYC và SEV-SNP vì tin rằng dữ liệu nhạy cảm vẫn được bảo vệ ngay cả khi chạy trên hạ tầng không hoàn toàn đáng tin, nhưng nếu mắt xích khởi tạo có thể bị bẻ hướng thì giá trị của lời hứa đó suy giảm thấy rõ. Điều này càng đáng chú ý trong giai đoạn chi tiêu cho hạ tầng chưa hạ nhiệt: bài Blackwell đắt gấp đôi chip AI cho thấy doanh nghiệp vẫn chấp nhận rót rất mạnh vào cụm tính toán mới, nên một rủi ro ở tầng boot có thể tác động thẳng tới quyết định mua server và cách khách hàng đánh giá mức an toàn của nền tảng.
Fabricked buộc cloud doanh nghiệp nhìn lại cách mua server AI
Bài toán lớn nhất mà Fabricked đặt ra không nằm ở mức độ giật gân của tên gọi, mà ở việc nó đánh trúng nền tảng niềm tin của cloud doanh nghiệp. Khách thuê không thể tự mở từng lớp firmware để xác minh nhà cung cấp đã khóa đúng mọi đường định tuyến, nên họ buộc phải dựa vào chuỗi cam kết từ nhà sản xuất chip, firmware cho tới đơn vị vận hành trung tâm dữ liệu. Trong bối cảnh CPU vẫn là phần nền để khởi tạo, điều phối và nuôi cả cụm máy AI, bài Ibiden và Agentic AI càng cho thấy một điểm yếu ở lớp thấp không chỉ là vấn đề riêng của AMD, mà là phép thử cho độ đáng tin của cả hạ tầng cloud doanh nghiệp.
| Điểm chính | Dữ kiện đáng chú ý | Ý nghĩa thực tế |
|---|---|---|
| Cách tấn công | Can thiệp định tuyến MMIO và giao dịch bộ nhớ trong lúc SEV-SNP khởi tạo | Lớp bảo vệ có thể bị phá trước khi hoàn tất |
| Thành phần bị nhắm tới | Infinity Fabric, PSP và cấu hình firmware lúc boot | Rủi ro nằm ở chuỗi khởi tạo chứ không chỉ ở VM đang chạy |
| Tác động mà nghiên cứu nêu | Đọc, ghi bộ nhớ máy ảo và giả mạo attestation trong điều kiện phù hợp | Khách thuê cloud khó tự phát hiện nếu chỉ nhìn từ bên trong VM |
| Phản hồi từ AMD | Advisory AMD-SB-3034 xếp mức độ Medium và phát hành hướng giảm thiểu cho một số dòng Zen 5 | Nhà vận hành phải rà lại firmware, microcode và lịch cập nhật |
| Hệ quả thị trường | Khách hàng lớn sẽ hỏi kỹ hơn về firmware, quy trình vá và xác thực nền tảng | Server AI không thể chỉ bán bằng số nhân CPU hay giá GPU |
Ở góc nhìn thị trường, điều AMD cần làm bây giờ không chỉ là tung bản giảm thiểu mà còn phải giải thích rõ rủi ro thực tế nằm ở đâu, ảnh hưởng tới dòng máy nào và việc cập nhật sẽ đổi lấy điều gì về vận hành. Khách hàng lớn ngày càng mua hạ tầng theo tiêu chí ổn định, minh bạch và tốc độ phản ứng khi có sự cố bảo mật, thay vì chỉ nhìn thông số. Nếu các bản cập nhật được triển khai gọn và nhà cung cấp cloud chứng minh được chuỗi boot đã được khóa chặt, Fabricked có thể trở thành cú cảnh báo cần thiết. Còn nếu phản ứng chậm hoặc thông tin tiếp tục mập mờ, niềm tin dành cho server AI dùng EPYC sẽ chịu sức ép đúng vào lúc doanh nghiệp đang rà lại những khoản đầu tư mới cho năm 2026.