最近，在 RE//verse 2026 安全会议上，一位名叫 Markus ‘Doom’ Gaasedelen 的安全研究员，演示了他对 Xbox One 主机的破解，并将其命名为“Bliss”。这台 2013 年发布的游戏主机，在长达十二年的时间里，顶住了全世界黑客和安全爱好者的无数次尝试，被誉为“无法破解”的堡垒。如今，这座堡垒终于被一种名为“电压故障注入”的物理攻击手段攻破。

为什么Xbox One能坚守十二年之久？这场攻防战的本质是什么？它对我们理解“安全”这件事，意味着什么？

防：微软构建了一座怎样的堡垒？

要理解这次破解的意义，首先必须了解微软在 Xbox One 上构建的防御体系有多么夸张。这远非普通软件层面的加密或验证，而是一套从芯片设计之初就贯彻到底的、纵深防御的系统工程。

其核心是“信任根”（Root of Trust），也就是位于处理器内部的一小块只读存储器（Boot ROM）。这是系统启动时执行的第一段代码，被固化在硅片中，无法通过任何软件更新修改。整个系统的安全链条都从这里开始：Boot ROM 验证下一阶段的引导加载程序，Bootloader 验证操作系统，操作系统验证游戏和应用。

只要 Boot ROM 不可撼动，整个信任链就是完整的。因此，所有终极的破解尝试，最终都必须指向这块小小的、代码量仅有十几 KB 的 Boot ROM。

微软的工程师团队显然深知这一点。他们在这块方寸之地上倾注了巨大的精力，其核心思想是：预判攻击者所有可能的物理攻击手段，并从硬件和底层代码层面进行封堵。

第一，代码质量与保密性。Xbox One 的 Boot ROM 代码由微软内部团队从零开始编写，而非使用芯片供应商提供的通用代码。这段代码从未泄露，且经过了极高强度的审核，十二年来，没有人能在其中找到一个可利用的软件漏洞。想获得代码，唯一的方法是通过扫描电子显微镜对芯片进行物理层面的逆向工程，尝试将电路图还原成二进制代码——这是一项成本极高、耗时极长的工作。

第二，对抗“时序攻击”。攻击者常用的一种手段是精确测量代码执行的时间，来推断程序的内部状态。为了对抗这一点，微软在 Boot ROM 中加入了大量随机化的延迟循环。这些循环不做任何有效工作，唯一目的就是让程序的执行时间变得不可预测，从而让攻击者无法通过外部观察来定位关键的验证步骤。

第三，物理探测端口的封锁。在芯片调试和开发阶段，工程师通常会使用 JTAG 这样的调试接口来监控 CPU 的内部状态。在最终发售的 Xbox One 芯片上，所有这类调试接口在 Boot ROM 执行阶段都被硬件层面彻底禁用。攻击者无法像开发者一样“看到”芯片内部正在发生什么，只能进行“盲攻”，难度呈指数级上升。

第四，完整性校验链。为了防止攻击者通过某些手段跳过关键的验证步骤，Boot ROM 在执行过程中会对各个阶段进行哈希链式校验。每一步的执行结果都会影响下一步的输入，只要有任何一个环节被篡改或跳过，整个链条就会断裂，系统将拒绝启动。

第五，Boot ROM 内部的权限隔离。微软工程师甚至在小小的 Boot ROM 内部实现了一种类似“用户态”和“内核态”的隔离机制。大部分启动代码在权限受限的“用户态”下运行，只有极少数最核心、最敏感的操作才会在“内核态”下执行。这意味着，即使攻击者成功地对“用户态”代码进行了干扰，其能造成的破坏也极其有限，无法触及系统的安全根基。

所以，Xbox One的防护不是一个简单的“锁”，而是一座层层设防、内部结构复杂且外部信息隔绝的黑暗迷宫。微软的目标非常明确：将物理攻击的成本和难度提升到无以复加的程度。Tony Chen 曾提到一个内部目标：任何成功的物理破解，其成本都不能低于购买 10 款正版游戏的总价。从结果来看，他们远远超额完成了这个目标。

攻：电压故障注入是如何破解系统的？

面对这样一座安全堡垒，传统的软件漏洞利用很难攻入。唯一的路径，就是从物理层面直接干预芯片的正常运行。Markus Gaasedelen 采用的“电压故障注入”（Voltage Glitching），正是这类物理攻击的代表。

它的原理是：在 CPU 执行指令的特定瞬间，通过外部设备向其供电线路上施加一个极其短暂且精确的电压脉冲（通常是急剧的电压下降），“欺骗”芯片。这种瞬间的电源扰动，可能会导致 CPU 内部的晶体管状态出错，其效果可能是跳过一条或几条指令，或者导致某个计算结果错误。

Markus 的“Bliss”攻击，精髓在于一次“双重注入”（Double Glitch）。

第一次注入的目标，是绕过前面提到的 Boot ROM 内部权限隔离。他通过精准的电压脉冲，成功跳过了设置内存保护单元（MPU/MMU）的那段代码。MPU/MMU 正是实现“用户态”和“内核态”隔离的关键硬件。一旦它被禁用，整个 Boot ROM 内部就不再有权限之分，原本在“用户态”下无法触及的区域，现在门户大开。

然而，仅仅移除隔离还不够，攻击者还需要获得代码执行权。这就要靠第二次注入。Markus 发现，在 Boot ROM 从闪存中读取下一阶段引导程序的过程中，会调用一个 memcpy 函数来复制数据。他在 memcpy 执行过程中的某个关键节点，再次施加了一个精准的电压脉冲。这次注入成功地破坏了 memcpy 的正常执行流程，导致 CPU 的程序计数器被劫持，跳转到了攻击者预先准备好的一段恶意代码上。

至此，攻击者在系统启动的最早阶段、最高权限级别，完全控制了处理器。整个信任链从根部被斩断。后续所有的安全机制，无论是签名验证还是代码加密，都形同虚设。

这个过程描述起来似乎不复杂，但其实现难度是常人难以想象的。这要求攻击者不仅对目标系统的启动流程有深刻理解，还需要自行设计和制造能够产生纳秒级别精准电压脉冲的硬件设备，并通过成千上万次的重复实验，在没有任何内部调试信息的情况下，找到那两个转瞬即逝的、可以被成功利用的时间窗口。这是一项融合了逆向工程、硬件设计和大量枯燥试错的系统性工作，是真正的“黑客艺术”。

黑客赢了，但微软并没有输

黑客这次虽然赢了，但微软其实也没有输。

因为在消费电子产品的世界里，“安全”从来不是一个绝对的、非黑即白的二元状态。它不是“能被破解”和“不能被破解”的对立。安全的本质，是在有限的成本内，为产品的核心商业价值争取足够长的保护时间。

对于游戏主机而言，这个核心商业价值就是平台生态和软件销售的利润。微软安全团队的核心任务，是在 Xbox One 的整个生命周期内（从发售到停产），有效遏制大规模盗版，保护游戏开发者的收入，从而维持平台的吸引力。

从这个角度看，微软取得了胜利。Markus 的破解方法，直到 2026 年才被公布，此时距离 Xbox One 停产（2020 年）已经过去了四年，Xbox Series X/S 上市也已经三年多。

更重要的是，这个物理攻击方法，目前只对 2013 年生产的初代 Xbox One 有效。后续的 Xbox One S 和 Xbox One X 等改良型号，微软已经加入了更多的抗故障注入硬件设计，破解难度更大。

这意味着，在 Xbox One 作为主力产品销售的整整七年时间里，它的安全防线从未被真正攻破。它为微软、为整个平台的游戏开发者，赢得了七年的宝贵时间。相比之下，同时代的竞争对手，以及更早的 Xbox 360，都在其生命周期内被破解，盗版问题更为普遍。

这场长达十二年的攻防战，是一场典型的“非对称战争”。

微软作为防御方，需要堵住成千上万个可能的漏洞；而像 Markus 这样的攻击者，只需要找到一个缺口就能宣告胜利。在这种极度不利的态势下，微软的安全体系依然坚守了超过十年。这本身就是一项了不起的成就。

此外，微软的另一个策略也值得称道：官方提供“开发者模式”。任何用户都可以将自己的主机切换到开发者模式，从而可以侧载自制程序和模拟器。这一举措分化了破解社区。那些只想运行自制软件和模拟器的“爱好者”，有了一个官方的、合法的渠道，从而失去了与以运行盗版游戏为目的的“破解者”合作的动力。这从动机上削弱了破解的吸引力。

因此，Xbox One 的故事，不是一个“盾”最终被“矛”戳穿的悲剧，而是一个“盾”在完成了其历史使命后，光荣退役的故事。

这场对决，没有失败者。它为整个行业提供了一个关于如何设计安全系统、如何评估安全价值的经典案例。

它告诉我们，真正的安全工程，不是追求一个虚无缥缈的“永不被破”的神话，而是基于对商业目标的深刻理解，用有限的资源，构建一个能在关键时间窗口内抵御可预见和不可预见威胁的、足够强大的防御体系。

从这个意义上说，微软做到了，而且做得非常出色。Markus Gaasedelen 的破解工作，则为这个工程故事，写下了一个同样精彩的、值得尊敬的最终章。

参考来源：

Microsoft’s ‘unhackable’ Xbox One has been hacked by ‘Bliss’ | 原文链接