На Хабре обсуждают бэкдоры в UEFI плат Gigabyte. Фишка в том, что Win 10/11 автоматически (и, как я понял, тихо и без спроса) подтягивает оттуда софт, "предложенный производителем".

То есть, поставив с нуля более-менее адекватную "традиционную" винду, можно хотя бы быть уверенным, что она полностью управляет железом. Вызовы всяких API в BIOS/EC можно не считать, они могут тормозить, но навредить вроде как особо не могут. Intel ME, теоретически, более функционален, но таки не замечен ни в чем предосудительном на уровне самого процессора.

А тут, можно сказать, раздолье.