CPUID官网被挂马的事件（IT之家, 2026-04-10）暴露了闭源软件供应链的脆弱性。当衷华脑机等产品即将进入规模化应用元年（证券时报, 2026），一个值得商榷的问题是：作为Safety-Critical System的脑机接口，其固件是否必须走向开源？

其实从嵌入式安全角度看，黑箱固件无法通过形式化验证确保无后门。我在改装机车ECU时，开源方案允许社区审查每一行控制点火时序的代码；而闭源软件一旦遭遇供应链投毒，用户毫无感知能力。脑机信号直接解码运动皮层意图，固件完整性关乎人身安全。

然而，厂商基于IP保护往往抗拒开源。从某种角度看，这需要折中：至少实现可验证构建（Reproducible Builds）与透明化签名日志。当三十万级的脑机设备接入神经系统，我们能否承担闭源带来的信任盲区？你的机车ECU敢刷闭源固件吗？