Одна ошибка в VRAM и система пропала? Новая атака на карты NVIDIA выглядит гораздо опаснее, чем следует из названия

Эксплойт Rowhammer уже имел свою легенду, но казалось, что индустрии удалось ее приручить и нейтрализовать. Тем временем исследователи вернулись к теме с гораздо более неудобной для рынка графических процессоров стороны. Речь идет уже не о незначительных искажениях данных в памяти, а о том, не стала ли видеокарта, используемая в системах ИИ, облаке и профессиональной работе, просто новым бэкдором для всей системы.

Проблема уже не только в целостности модели ИИ, ведь сегодня единственная ошибка в памяти графического процессора может привести к захвату всего хоста.

Глобальная утечка информации P3 ударила по борьбе с преступностью и школам. Проблема не только в масштабе, но и в самой модели доверия.

Как мы писали много лет назад о классическом Row Hammer в оперативной памяти, источником проблемы остается физика упакованной памяти. Вот только сегодня ставки намного выше. Прошлогодний GPUHammer продемонстрировал саботаж модели искусственного интеллекта на NVIDIA RTX A6000, а новая работа GDDRHammer и GeForge поднимает его на ступеньку выше. Одноразрядные перевороты в GDDR6 позволяют манипулировать таблицами страниц графического процессора, что делает путь к чтению и записи памяти процессора удивительно коротким. GDDRHammer сообщает в среднем о 129 переворотах на банк, что в 64 раза выше, чем в предыдущих исследованиях, а захваты хостов занимают в среднем 63,2 секунды. Это уже не похоже на лабораторный трюк.

FedRAMP санкционировал правительственное облако Microsoft не потому, что оно безопасно, а потому, что никто больше не мог его отключить.

Для домашнего пользователя это не означает повседневной угрозы, поскольку для атаки необходим запуск кода на GPU, отсутствие активного ECC и, на практике, выгодная конфигурация с отключенным IOMMU. Проблема возникает там, где графические процессоры одновременно выполняют важные рабочие нагрузки и несколько клиентов: в облаке, VDI, на рабочих станциях и серверах искусственного интеллекта. NVIDIA рекомендует ECC на уровне системы, но затраты реальны, поскольку это дает около 6,25 процента. меньше доступной памяти и падение производительности от 3 до 10 процентов. На этом фоне Ampere выглядит слабее более новой Ada, поскольку в тестах GDDRHammer RTX A6000 показала себя плохо, а RTX 6000 Ada не показала переворотов. AMD, в свою очередь, уже ориентирует пользователей карт GDDR6 на Graphics ECC. И это кажется самым важным. Наши тексты о HBM4 и механизме DRFM показывают, что безопасность VRAM больше не является сноской к спецификации, а становится одной из затрат при разработке графических процессоров нового поколения.