OneKey Anzen 安全实验室的研究已被 Black Hat USA 主会收录。 我们将演示如何从一个内存损坏漏洞出发，成功 Hack 一些市面上的主流硬件钱包。 即使它们有安全芯片、OTP/fuses、key sharding 和 defense-in-depth 等多层安全设计，攻击链仍然可以一路推进，直到最终破解出助记词。 这个漏洞并不是钱包厂商自己的业务代码，而是一个被广泛复用的 SoC 厂商 USB reference SDK，属于供应链级的风险。POS 终端、读卡器、可信嵌入式设备，只要建立在类似 SDK 之上，都可能暴露在同一类攻击面里。 我们在做这项研究时还有个很有意思的点，即，在没有 JTAG、没有 SWD、没有任何硬件调试接口的前提下，深度使用特定 LLM 模型参与了 memory leak 分析、firmware memory layout 推断、payload 迭代、权限提升，直到最终破解出助记词。AI 在压缩真实漏洞研究和利用开发的周期，意味着硬件安全也必须上强度。 Anzen 团队已向相关团队负责任披露，待受影响的厂商完成修复后，我们会分享更多研究细节。

最近，风华高科因RC/RS系列0402、0603晶片电阻订单激增，暂停部分新订单。 虽然只是是贴片电阻吗，但重要的，这是，高端、小尺寸、高一致性被动器件，的供需失衡信号。 0402 / 0603是封装尺寸。它既可以是MLCC，也可以是贴片电阻、电感、EMI滤波器。AI服务器真正需要的，是“小尺寸下还能维持高频、高一致性和长期可靠性”的器件。 AI的VRM复杂度提升、PDN越来越复杂。于是系统开始大量消耗：高频MLCC、小尺寸电阻、高频电感、钽电容、HSC。 这些器件单价不高，但属于“缺一个，整机就无法出货”的东西。 AI服务器里的需求本身是分层的。最核心的位置，比如GPU核心供电、HBM附近、ASIC substrate附近，仍然高度依赖：Murata Manufacturing、TDK Corporation、Taiyo Yuden。因为这里要求极低ESL、极低ESR、高频响应和长期可靠性。 但AI服务器并不只有核心位置。PSU、BBU、NIC、SSD、光模块、交换机，同样会消耗海量0402/0603。重要的是，AI正在先抽紧最顶级MLCC产能，然后压力开始向中高端0402/0603扩散。 最近大火的MLCC和0402电阻看起来是不同器件，但背后共享的是“小尺寸精密制造能力”。包括精密印刷、烧结、AOI检测、高频测试、超小尺寸良率控制、精密材料处理。 这和HBM产业链很像。最开始缺的是HBM，后来CoWoS、ABF、substrate、电源、散热、测试一起开始紧张。MLCC现在也开始出现类似现象。 真正最容易缺货的，往往不是最顶级料号，而是“能量产、能过验证、还能部分替代”的中高端规格。 2018年被动器件超级周期就是典型案例。当时车规MLCC先缺，高频小尺寸规格先涨，随后0402/0603全面涨价。因为一旦高端规格开始缺货，客户就会提前备货、长单锁产能、替代采购、超额下单，最后整个产业链一起紧张。 现在AI行业，可能正在重复这个过程。 更重要的是，这种紧缺会向二线供应商传导。当Murata Manufacturing、TDK Corporation、Taiyo Yuden 优先保障AI服务器和车规客户后，订单开始向：Vishay Intertechnology、Yageo Corporation、Bel Fuse Inc.、Fenghua Advanced Technology 溢出。 AI数据中心，正在把整个电子产业重新拉回“工业品逻辑”。从GPU，到HBM，到光模块，到电源，再到0402电阻，整个链条都在同时变紧。 这可能意味着，被动器件行业，正在进入新一轮量价周期。甚至可能是超级周期。 免责声明：本人持有文章中提及资产，观点充满偏见，非投资建议，dyor