从 2008 年开始，英特尔开始为几乎每一颗芯片引入了所谓的管理引擎（Intel Management Engine），你可将之视为 CPU 更上一层的处理器。 尽管英特尔表示 IME 能够在主操作系统使用的过程中独立执行一些管理任务，但这项“黑箱”特性一直被电子前沿基金会（EFF）等组织所诟病：因其能够控制网络和硬件 —— 甚至在计算机被关闭的时候 —— 这无疑留下了一个重大的安全隐患和隐私风险。

事实证明，EFF 的担心并非杞人忧天。安全公司 Positive Technologies 报告称： 其已能够通过 USB 接口，在运行 IME 的计算机上执行未经签名的代码。

简单说来就是，IME 与 JTAG 调试接口相连接，而 USB 端口也用到了它。在 Positive Technologies 的演示中，提到了可以打通两者的方法（具体操作暂未披露）。

要说万幸的话，就是这类攻击仅影响 Skylake 及新平台的处理器。但我们也不可忽视一个事实，即英特尔几乎在 2008 年后发布的每一颗 CPU 中都纳入了管理引擎。

IME 安装界面截图（via： 联想知识库 ，下同）

这并不是首次有研究人员曝光与“英特尔管理引擎”子系统有关的漏洞，只是 Positive Technologies 找到了通过 USB 接口发起攻击的方法。

此前，伊朗核项目曾被“震网”（Stuxnet）给临时打断，而该恶意软件的传播途径，就是通过某种特制的 USB 设备的接触。

想象一下，如果你在地上捡到了一个疑似 USB 存储盘的东西，是否会第一时间接到计算机上查找有关其主人的线索呢？对于别有用心的攻击者来说，这招可谓“杀必死”。

最令人沮丧的是，我们无法彻底移除 IME 组件。 因为它在物理上就存在、而且被植入了计算机中最核心的中央处理器里。唯一的预防手段，就是关闭 IME 固件。

讽刺的是，不含 IME 组件的设备在市场上会变得更受追捧。比如一家位于旧金山、名叫 Pruism 的公司，就在兜售无 IME 的笔记本电脑。

Purism 创始人兼首席执行官 Todd Weaver 在接受采访时表示：“长期以来，英特尔管理引擎组件都被视为一个理论上的威胁，但现在它已经被证实”。

一名攻击者或罪犯，可以在不借助高级软硬件的情况下完全控制一台计算机，访问上面的加密存储、密码密钥、财务报表等所有信息，你所奢望的一切安全性都将不复存在。

Purism 之所以很早就禁用了自家笔记本电脑上的 IME，是因为我们知道它‘从威胁变成现实’只是时间上的问题。

我司是唯一一家在出货时默认禁用了 IME 的笔记本厂商，并且加强了硬件安全，让全球用户可以从中受益。