运行在“Ring -3” 的 MINIX

你可能不知道，但是在你的英特尔系统里，除了你的主操作系统之外，还有一个操作系统在运行，这就是 MINIX。

早在今年 5月，EFF 就发布了一篇文章，介绍了自 2008 年以来，这十年间英特尔发布的所有处理器都运行了一个修改版的 MINIX 3，它被称之为“管理引擎（ME）”。这个由计算机科学教授 Andrew Tanenbaum （对，就是那位早期曾经和 Linus Torvalds 论战过的教授）作为一个教育工具开发的类 Unix 操作系统内置于每一款新英特尔处理器内。

MINIX 运行在你的 CPU 的 “Ring -3”（负数 3） 层上，虽然是你的 CPU，但是你无权访问它。你能够实际访问的最低的 “Ring” 是 “Ring 0”，你的操作系统（比如 Linux）内核就运行在这一层，而大多数用户程序则运行在 “Ring 3”（正数 3）上。

这个运行在 “Ring -3” 的 MINIX 包括如下功能：

完整网络堆栈、文件系统、许多驱动程序 (包括 USB、网络等)，以及一个 Web 服务器！

没错，Web 服务器。在你的 CPU 里面有一个秘密的 Web 服务器，您是不允许访问的，而且，显然，英特尔并不希望你知道。我们不知道这个 Web 服务器究竟有什么用途，也许是 CPU 厂商会用它来访问一些数据或者进行一些控制。但是这一切，你都不知道。

据称，Google 正在积极从其内部服务器上移除这个管理引擎，显然 Google 对其安全风险感到忧虑。

这个事情有两个有趣或者说疯狂的地方：

首先，由于英特尔 CPU 的流行，所以，世界上最流行的操作系统恐怕不是 Windows，也不是 Linux，而是这个 MINIX——我们都是 MINIX 用户！

其次，由于你根本没权限访问到“Ring -3”，而这个 MINIX 却能够完全访问你的整个系统——这就是一个巨大的安全风险，运行权限极大，但是从不更新。