Ubuntu 禁用 GPU Spectre 缓解措施——这对您意味着什么及如何应对。了解风险并采取适当防护措施，保障系统安全。

Canonical决定在Ubuntu 24.04 LTS（Noble Numbat）及即将发布的25.10版本中，默认关闭英特尔GPU计算运行时中的Spectre防护，引发了热烈讨论。OpenCL和Level Zero工作负载性能提升高达20%听起来非常诱人，但安全专家们却敲响了警钟。本指南摒弃术语，技术深度兼备，为初学者和专业人士提供全面信息：背景介绍、现实风险评估，以及逐步检查并在必要时重新加固系统的操作指南。

为什么大家又在谈论Spectre？

2018年，Spectre和Meltdown成为全球头条新闻。这两类瞬态执行或推测执行攻击利用推测执行出错时微小的时间差，从本应隔离的内存中泄露秘密（密码、密钥、会话令牌）。Meltdown通过内核页表隔离（KPTI）较快得到缓解。Spectre则如九头蛇般，每砍掉一个变种（V2、BHB/BHI、Straight-Line Spec、Retbleed等），又冒出新的变种。

防护措施带来了性能代价：根据工作负载不同，CPU性能和I/O吞吐量明显下降。Canonical这次重新权衡了这项取舍——这次不是在CPU端，而是在GPU计算端。根据Launchpad漏洞#2110131，关闭图形防护可提升OpenCL性能高达20%；英特尔早已在其二进制文件中禁用了这些防护。

CPU ≠ GPU——到底禁用了什么？

大多数用户只将Spectre与CPU关联。然而，自2022年以来发表的论文显示，现代集成显卡（iGPU）也存在推测执行侧信道。英特尔对此在开放计算运行时（NEO）中添加了防护，可通过CMake开关NEO_DISABLE_MITIGATIONS控制。

Canonical现已默认将该开关设为TRUE——仅限于库libigdrcl.so（OpenCL）和Level Zero后端。内核层防护（IBRS、IBPB、KPTI等）依然生效。这是经典的权衡：GPU上开销减少，但理论上攻击面增大。Phoronix确认性能提升约20%，尤其在AI推理、视频转码（HandBrake QSV）和Blender Cycles渲染任务中表现明显。

决策是如何做出的？

英特尔与Canonical协调合作，双方安全团队认为GPU防护的性能代价超过其带来的收益。

目前无已知真实世界的利用案例。针对iGPU的公开概念验证尚未出现。与早期CPU端Spectre变种不同，尚无可用攻击代码——虽非绝对安全，但这是重要参考。

内核补丁依然有效。即使出现新的GPU变种，攻击者也必须先绕过内核屏障，才能窃取有价值数据。安全专家Bruce Schneier总结道：攻击难以实施，存在更易途径入侵系统，且性能损失与安全收益不成比例。

我会受到影响吗？

1. 你的工作负载是否使用OpenCL或oneAPI/Level Zero？
   如果你只是浏览网页、办公或玩游戏，通常不会涉及这些框架。
2. 你是否使用带有集成GPU（第9代/Skylake至Meteor Lake）或英特尔Arc显卡的英特尔系统？
   只有这样，计算运行时才会被调用。
3. 你是否安装了新版运行时？
   打开终端，运行：
   dpkg -l intel-opencl-icd libze-intel-gpu1

如果无输出，说明系统未使用该运行时。若版本号为