Pitfalls in VM Implementation on CHERI: Lessons from Porting CRuby

本文以 CRuby 移植为例，系统梳理并分类了将虚拟机移植到 CHERI 架构时因 C 语言未定义行为假设与 CHERI 严格内存安全模型冲突而引发的各类实现陷阱，并提供了相应的解决方案与验证。

要点

这篇论文讲述了一个关于**“给旧房子装上新式防盗门”**的故事。

想象一下，传统的计算机程序（比如 Ruby 语言的解释器）就像是在一个老式公寓楼里运行。在这个老楼里，每个人手里都拿着一把普通的钥匙（传统指针）。这把钥匙只能告诉你“去哪个房间”，但它不管这个房间是不是你的，也不管你能不能进隔壁的房间。如果坏人拿到了钥匙，或者你手滑把钥匙插错了锁孔，整个大楼（内存）就可能被破坏，甚至被黑客入侵。

CHERI 就是这项新技术，它给大楼换了一套智能防盗系统。在这个新系统里，钥匙不再是简单的数字，而是一张**“智能通行证”**（Capability）。这张通行证上不仅写着“去哪个房间”，还写着：

1. 权限：你只能进这个房间，不能进隔壁。
2. 范围：你只能在这个房间里的这面墙到那面墙之间活动，不能乱跑。
3. 防伪：这张通行证是硬件生成的，无法伪造。

这篇论文的核心故事是：
作者们试图把著名的 CRuby（Ruby 语言的虚拟机，就像公寓楼的中央管理系统）搬进这个新大楼（CHERI 架构）。虽然初衷很好，但在搬家过程中，他们发现了很多**“水土不服”**的坑。

为什么搬家这么难？（核心冲突）

在老公寓（传统架构）里，管理员（程序员）有一些**“潜规则”和“坏习惯”**，大家心照不宣地认为这些是安全的。但在智能大楼（CHERI）里，这些习惯不仅行不通，还会直接触发警报，导致系统崩溃。

作者把这些问题总结成了几个有趣的**“搬家陷阱”**：

1. “借钥匙”的陷阱（Invalid Derived Pointer）

• 老习惯：在老楼里，管理员拿着一把“总钥匙”（指向栈顶的指针），然后随便算个偏移量，就能得到一把“临时钥匙”去检查下面的房间。大家默认这把总钥匙能打开整层楼。
• 新现实：在 CHERI 大楼里，这把“总钥匙”被严格限制了，它只能打开当前这一个房间（局部变量）。当你试图用它去开隔壁房间（栈扫描）时，智能系统会立刻报警：“嘿，你越界了！”
• 解决办法：管理员必须手里一直握着一把**“超级通行证”**（覆盖整个栈的宽范围能力），用它来生成新的临时钥匙，而不是用那个被限制的死钥匙。

2. “假钥匙”的陷阱（Dereferencing Ambiguous Pointers）

• 老习惯：垃圾回收系统（GC）就像大楼的清洁工。在老楼里，清洁工看到地上有个数字，如果它长得像一把钥匙（比如数字 0x1234），清洁工就盲目地认为它是一把钥匙，并试着去开门。如果那其实只是个数字（比如温度 0x1234），门打不开也没事，系统会忽略。
• 新现实：在 CHERI 大楼里，如果清洁工拿着一把没有“防伪标签”的假钥匙去开门，警报会直接拉响，大楼会锁死。
• 解决办法：清洁工必须学会**“验明正身”**。在尝试开门前，先检查这张纸有没有防伪标签（Validity Tag）。如果有，再开；如果没有，就当它是废纸，直接扔掉。这反而让清洁工作得更精准了。

3. “原地扩建”的陷阱（In-Place Reallocation）

• 老习惯：想象你在租一个房间，房东说：“如果你要扩建，我就把隔壁房间打通给你，你不用换钥匙，原来的钥匙还能用。”在老楼里，这很常见。
• 新现实：在 CHERI 大楼，如果你扩建了房间，原来的“通行证”范围就不够了。系统会给你一张新通行证，范围更大。如果你还拿着旧钥匙去新扩建的区域，系统会报警：“你越界了！”
• 解决办法：以后扩建时，必须立刻扔掉旧钥匙，换上新钥匙。不能指望旧钥匙还能用。

4. “乱填格子”的陷阱（Using Padding Bits）

• 老习惯：程序员喜欢把很多小信息塞进一个大盒子里（比如把几个小数字塞进一个 64 位的整数里）。在老楼里，盒子的所有格子都能用。
• 新现实：在 CHERI 的盒子里，上半部分的格子被用来贴“防伪标签”和“权限说明”，只有下半部分能用来装数据。如果你试图往上半部分塞数据，或者把整个盒子当成纯数字来移位操作，数据就会乱套，或者被系统忽略。
• 解决办法：以后只使用**“纯数据盒子”**（精确宽度的整数类型，如 uint64_t），别碰那些带“防伪标签”的盒子。

5. “修改封条”的陷阱（Modifying Temporary Capabilities）

• 老习惯：有些钥匙上贴着“封条”（Sealed），表示这是系统生成的，不能动。但在老楼里，大家习惯性地拿笔在封条上涂涂改改（做数学运算），只要结果对就行。
• 新现实：在 CHERI 大楼，封条是硬化的。你一旦试图修改它，系统会直接判定你破坏公物，把钥匙作废。
• 解决办法：想修改数据？先把封条撕下来（转换成普通数字），改完再重新封上（如果需要）。或者干脆别碰那些带封条的东西。

6. “算错距离”的陷阱（Pointer Arithmetic on Non-Capability Type）

• 老习惯：计算距离时，大家习惯把钥匙变成数字，加减一下，再变回钥匙。
• 新现实：如果你用错了“数字类型”（比如用了 size_t 而不是专门的 uintptr_t），变回来的钥匙就会失去防伪标签，变成一把废钥匙。
• 解决办法：一定要用专用的“钥匙转换器”（uintptr_t），确保变回来的钥匙还是有效的。

搬家的结果如何？

作者们成功地把 CRuby 搬进了 CHERI 大楼。

• 性能：虽然为了遵守新规则，系统稍微慢了一点点（大约慢了 2%），但在大多数情况下，速度几乎和原来一样快。
• 安全性：虽然还没完全发挥 CHERI 的极限（比如还没给每个对象都设最严格的界限），但已经堵住了很多传统架构下的安全隐患。

总结

这篇论文就像是一份**“智能大楼搬家避坑指南”**。它告诉未来的程序员：

如果你想把软件搬到 CHERI 这个更安全的平台上，千万别再用那些“老派”的编程技巧了。那些在旧系统里能“蒙混过关”的 undefined behavior（未定义行为），在新系统里就是致命错误。

只有彻底改变思维，尊重硬件的“智能通行证”规则，才能构建出真正安全的软件系统。

技术摘要

这是一份关于论文《Pitfalls in VM Implementation on CHERI: Lessons from Porting CRuby》（CHERI 上虚拟机实现的陷阱：从 CRuby 移植中获得的教训）的详细技术总结。

1. 研究背景与问题 (Problem)

背景：
CHERI（Capability Hardware Enhanced RISC Instructions）是一种旨在解决内存安全问题的新型硬件架构。它用硬件强制的“能力（Capability）”取代了传统的指针，提供了细粒度的内存保护（空间和时间安全性）。虚拟机（VM）作为现代软件系统的核心，其自身往往包含内存漏洞，因此是 CHERI 保护的理想对象。

核心问题：
将现有的虚拟机（特别是用 C 语言编写的）移植到 CHERI 架构上并非易事。主要困难在于：

1. C 语言的未定义行为（Undefined Behavior）： 许多 VM 的实现依赖于传统架构上 C 语言未定义但实际表现一致的行为（例如指针与整数的随意转换、保守垃圾回收的假设等）。
2. 能力模型的冲突： CHERI 的严格内存安全模型（如能力的边界限制、有效性标签、密封性）与传统 VM 的实现假设（如原地重分配、指针算术）存在冲突，导致移植过程中出现意外的故障（如能力边界错误、标签错误）。
3. 缺乏针对性指南： 现有的 CHERI 编程指南主要针对通用软件，缺乏针对虚拟机特定实现模式（如保守 GC、解释器循环、对象布局）的深入指导。

2. 方法论 (Methodology)

作者通过以下方法进行研究：

1. 案例研究（Case Study）： 将 CRuby（Ruby 语言的参考实现，完全用 C 编写）移植到 CHERI 架构（纯能力模式，Purecap）。
   • 范围： 涵盖运行时系统和解释器，排除了 JIT 编译器和 FFI（外部函数接口）。
   • 规模： 修改了 40 个文件中的 464 行代码（约占代码库的 0.077%）。
   • 验证： 运行 CRuby 测试套件，目前通过率为 29,609/34,046。
2. 文献调研与对比： 调查了其他三个已知的 VM 移植案例：MicroPython、JavaScriptCore 和 Rust 编译器/运行时。
3. 分类与归纳： 将 CRuby 移植中发现的问题与其他案例中的问题进行对比，根据根本原因将其分类。
4. 性能评估： 在 x86 架构上模拟运行移植后的 CRuby，与原版 CRuby 进行基准测试对比，评估修复方案的性能开销。

3. 关键贡献与发现 (Key Contributions & Findings)

论文将 VM 在 CHERI 上实现的陷阱归纳为六大类，并提供了具体的解决方案和教训：

(1) 无效派生指针 (Invalid Derived Pointer)

• 问题： VM 常从一个局部变量获取地址来推导栈顶指针或块结构堆的元数据指针。在传统架构上可行，但在 CHERI 中，& 操作符返回的能力仅覆盖该变量，导致后续推导的指针超出边界（Bounds Fault）。
• 解决方案： 维护一个覆盖整个内存区域（如整个栈或整个堆块）的“超级能力（Super Capability）”，并从此能力派生所需的指针。
• 影响： 可能引入宽边界能力带来的安全风险，需通过隔离（Compartmentalization）来缓解。

(2) 解引用模糊指针 (Dereferencing Ambiguous Pointers)

• 问题： 保守垃圾回收（Conservative GC）扫描栈时，会将所有看起来像指针的值（包括整数）视为根并尝试解引用。在 CHERI 中，由整数转换来的指针没有有效性标签（Validity Tag），解引用会导致标签错误（Tag Fault）。
• 解决方案： 在解引用前检查有效性标签，而不是仅依赖位模式匹配。
• 影响： 提高了安全性，且可能提升性能（避免标记不可达的“伪指针”整数），并为实现无需 Pinning 的复制型 GC 提供了可能。

(3) 原地重分配 (In-Place Reallocation)

• 问题： VM 常假设 realloc 能原地扩展内存并保留原指针。在 CHERI 中，扩展后的内存会返回一个具有新边界的新能力，原指针无法访问扩展区域，导致边界错误。
• 解决方案： 不要依赖原地重分配。如果必须使用，需更新所有持有旧指针的变量为返回的新指针。
• 教训： VM 设计应避免依赖原地重分配优化，这在 CHERI 上不可行。

(4) 使用整数类型的填充位 (Using Padding Bits of Integer Types)

• 问题： VM 常利用整数的所有位进行位图（Bitmap）标记或位域打包。在 CHERI 中，(u)intptr_t 是能力类型，其高 64 位存储元数据（边界等），低 64 位才是地址/数值。对 (u)intptr_t 进行位移或位操作时，若涉及高 64 位或移位超过 64 位，会导致未定义行为或随机值。
• 解决方案： 对于位图操作和位域打包，使用精确宽度的整数类型（如 uint64_t），而非 (u)intptr_t。
• 影响： 无性能开销，且修复了逻辑错误。

(5) 修改编译器引入的临时能力 (Modifying Temporary Capabilities)

• 问题： CHERI C 编译器在二元运算中会自动生成代码来继承操作数的元数据。如果操作数是密封能力（Sealed Capability，如返回地址），这种隐式的元数据更新（修改地址部分）会触发密封错误（Sealed Fault）。
• 解决方案： 在进行位运算或算术运算前，将 (u)intptr_t 强制转换为非能力类型（如 uint64_t），运算完成后再转回（如果不需要作为指针使用）。
• 影响： 消除了不必要的临时能力创建指令，无性能开销。

(6) 非能力类型的指针算术 (Pointer Arithmetic on Non-Capability Type)

• 问题： 常见模式是将指针转为 size_t 进行算术运算（如计算偏移量）再转回。在 CHERI 中，size_t 不是能力类型，转换回指针会丢失边界和权限信息，导致无效能力。
• 解决方案： 始终使用 (u)intptr_t 进行指针算术运算。
• 影响： 引入少量管理能力的指令开销，但保证了正确性。

其他发现：

• 报告了 CHERI 软件栈的一些具体 Bug（如 mprotect 恢复权限时能力失效、makecontext 无法传递能力参数）。

4. 实验结果 (Results)

• 功能验证： 移植后的 CRuby 通过了大部分测试用例。主要失败原因包括一个特定的 AST 测试程序崩溃（导致大量测试未运行）以及缺少 libyaml 库。
• 性能评估：
  • 在 x86 架构上模拟运行，对比原版 Ruby 3.4.1。
  • 平均吞吐量： 移植版约为原版的 0.982 倍（标准差 0.038）。
  • 异常点： 某些与 Fiber（协程）相关的基准测试性能下降显著（约 10 倍），原因是移植版使用了通用实现，而原版使用了针对 x86 优化的汇编实现。
  • 结论： 大多数修复方案带来的性能开销极小，甚至没有开销。

5. 意义与结论 (Significance & Conclusion)

• 填补空白： 本文首次系统性地分类并讨论了 VM 移植到 CHERI 时的特定陷阱，超越了以往仅关注通用移植过程的研究。
• 实践指南： 为开发者提供了具体的代码级修复方案（Workarounds），特别是针对保守 GC、解释器实现和内存管理中的常见 C 语言惯用模式。
• 安全性与性能的权衡： 研究表明，虽然某些修复（如使用超级能力）可能带来安全权衡，但大多数修复（如检查标签、使用精确类型）在提升安全性的同时并未显著牺牲性能，甚至能优化 GC 行为。
• 未来方向： 论文指出，利用 CHERI 的特性（如精确的边界和标签）可以进一步优化 VM，例如实现更安全的对象隔离和更高效的垃圾回收，这是未来的工作方向。

总结： 该论文通过 CRuby 的移植实践，揭示了 C 语言 VM 实现中隐含的未定义行为与 CHERI 严格安全模型之间的冲突，并提供了一套经过验证的解决方案，为构建更安全、可移植的 CHERI 虚拟机奠定了重要基础。