事情是这样的——知名科技媒体 Ars Technica 于 6 月 16 日披露了一则看似低调但影响深远的更新:AMD 在 AGESA 1.2.7.0 固件版本中,悄然从消费级 Ryzen 处理器上移除了 TSME 支持。
先来了解 TSME 是什么。它的全称为 Transparent Secure Memory Encryption(透明安全内存加密),是一种基于硬件的内存保护技术。该技术内置于 AMD 处理器中,通过 CPU 芯片自带的 AES 加密解密引擎,自动对进出物理内存(DRAM)的所有数据进行加解密处理——整个过程对用户完全透明,无需软件干预。主要作用是防止攻击者通过物理接触或冷启动攻击窃取内存中的敏感信息。

发现这一问题的是一位名叫本·基尔帕特里克(Ben Kilpatrick)的 Linux 爱好者。他在使用系统审计工具 HSI 检查自己机器安全状态时,发现搭载 Zen 5 架构 Ryzen 7 9700X 处理器的设备上显示“加密内存:不支持”。而此前的记录明确显示该功能曾经是开启的,这让他感到异常。
基尔帕特里克花费了几个月的时间追查原因,最终联系主板厂商微星,并说服其工程师进行测试。结果显示:消费级 Ryzen 在较旧的 AGESA 固件下确实能够开启 TSME,但升级到 1.2.7.0 版本后,这一功能就变成了“不支持”。
他随后披露了更多细节:
微星的产品营销团队告知基尔帕特里克,AMD 已正式通知他们,TSME 将仅在 PRO 系列处理器上获得支持。微星的技术支持人员还特意找来一块华硕 X870E 主板,分别安装 Ryzen 9800X3D(消费级)和 Ryzen 9945(PRO)进行了对比测试。结果发现,在同一主板、同一 BIOS 下,PRO 处理器的 tsme_status 值为 1,而消费级处理器的 tsme_status 值为 0(1 表示 TSME 已启用,0 表示关闭)。
工程层面的排查还揭示,控制 TSME 功能的内部标志 DfIsTsmeEnabled 在消费级型号上返回 FALSE,而在 PRO 或 EPYC 型号上返回 TRUE。而且这一判断发生在启动加载阶段,因此即使用户在 BIOS 中手动将其设为开启,系统也不会认可——本质上,这个功能已经被“硬屏蔽”。
一句话概括:AMD 在最新的消费级 Ryzen 固件中,悄然切断了 TSME 这一安全防线,仅保留给 PRO 和 EPYC 系列。至于原因是出于成本、市场定位还是技术考量,目前尚无官方说法。但有一点已经明确——如果你对内存加密有硬性需求,消费级 Ryzen 已不再是那个“全功能”的选择。
