CPUID官网被挂马的事件(IT之家, 2026-04-10)暴露了闭源软件供应链的脆弱性。当衷华脑机等产品即将进入规模化应用元年(证券时报, 2026),一个值得商榷的问题是:作为Safety-Critical System的脑机接口,其固件是否必须走向开源?
其实从嵌入式安全角度看,黑箱固件无法通过形式化验证确保无后门。我在改装机车ECU时,开源方案允许社区审查每一行控制点火时序的代码;而闭源软件一旦遭遇供应链投毒,用户毫无感知能力。脑机信号直接解码运动皮层意图,固件完整性关乎人身安全。
然而,厂商基于IP保护往往抗拒开源。从某种角度看,这需要折中:至少实现可验证构建(Reproducible Builds)与透明化签名日志。当三十万级的脑机设备接入神经系统,我们能否承担闭源带来的信任盲区?你的机车ECU敢刷闭源固件吗?