GPUhammer: самое мощное оружие против шкур AI, где ожидается наименьшее количество
Даже самые мощные видеокарты Nvidia беззащитны перед новой атакой.
Nvidia предупредила о новой уязвимости в своих графических процессорах, называемых Графический процессорS Атака, основанная на хорошо известной технике Rowhammer, позволяет злоумышленникам повредить данные других пользователей, злоупотребляя функциями ОЗУ графических карт.
Сначала было продемонстрировано, что атаки Rowhammer могут быть реализованы в графических процессорах, а не в традиционных процессорах. Например, эксперты использовали видеокарту NVIDIA A6000 с памятью GDDR6, которая удалось изменить отдельные биты в видео. Таким образом, целостность данных может быть уничтожена без прямого доступа к ним.
Особая обеспокоенность заключается в том, что даже один поворот только на один бит может нарушить точность искусственного интеллекта: модель, обученная на ImageNet, которая ранее продемонстрировала точность 80%в результате атаки, точность МО составляет лишь 1%.
Это воздействие превращает графическую импульс из технической аномалии в мощный инструмент для нарушения инфраструктуры искусственного интеллекта, включая подделку внутренних параметров моделей и отравление учебными данными.
В отличие от процессоров, ускорители графики обычно не создают -в механизмах безопасности, таких как контроль доступа в инструкциях или утилизация.
Это делает их более уязвимыми для атак низкого уровня, особенно в общих вычислительных средах, таких как облачные платформы или виртуальные рабочие столы. В таких системах потенциально злонамеренный пользователь может влиять на смежные задачи без прямого доступа к ним, что создает риски на уровне арендатора.
Предыдущие исследования, в том числе методология Spechammer, комбинированные уязвимости Rowhammer и Spectre для атакующих атак с помощью спекулятивного выполнения команды. GPUhammer продолжает эту тенденцию, демонстрируя возможность атаки даже при наличии защиты, таких как Target Row Refresh (TRR), рассмотренная до надежной меры предосторожности.
Последствия таких атак особенно опасны для отраслей, с высокими требованиями для безопасности и прозрачности, особенно для здравоохранения, финансов и автономных систем. Появление неконтролируемых искажений ИИ может нарушать такие положения, как ISO/IEC 27001 и Европейское законодательство AI, особенно при принятии решений на основе поврежденных моделей.
Чтобы снизить риски, Nvidia рекомендует активировать функцию ECC (коррекция памяти)Использование команды «nvidia -SMI -e 1». Его условие можно проверить с помощью команды «nvidia -Smi -q | grep ecc». В некоторых случаях приемлемо активировать ECC только для обучения узлов или критических рабочих нагрузок. Системные журналы также должны контролироваться на предмет ошибок памяти, чтобы обнаружить возможные атаки вовремя.
Стоит иметь в виду, что включение ECC снижает производительность машинного обучения графического процессора A6000 примерно на 10% и уменьшает доступный размер памяти на 6,25%. Однако на последних графических процессорах, таких как H100 и RTX 5090, не влияют эта уязвимость-они используют коррекцию ошибок в самом чипе.
Дополнительная тревога провоцирует, связанную с этим недавним эксплойтом под названием КроухаммерПредставлено командой NTT Social Informatic Laboratories и Centralesupélec. В этом случае атака восстанавливает личный ключ в Sop -Park Signature Falcon, выбранную для стандартизации NIS. Исследователи показали, что даже одна обратная жизнь может привести к успешному восстановлению ключей с несколькими сотнями миллионов подписей с большим количеством искажений, с меньшим количеством данных.
Все это, взятое вместе, указывает на необходимость переосмысления подходов к безопасности моделей ИИ и инфраструктуры, над которой они работают. Обычных уровней данных больше не достаточны — нам нужно взглянуть на уязвимости, которые возникают на уровне аппаратного обеспечения, вплоть до архитектуры видео.
