Luka w GPU zagraża modelom AI. Atak Rowhammer nowym zagrożeniem?
Zespół informatyków z Uniwersytetu w Toronto dokonał niepokojącego odkrycia: ataki typu Rowhammer, wcześniej kojarzone z procesorami (CPU), są skuteczne również przeciwko układom graficznym (GPU). To poważny problem, bo GPU stanowią rdzeń obliczeniowy dla modeli sztucznej inteligencji i usług uczenia maszynowego w chmurze.
Badacze dowiedli, że atak Rowhammer, polegający na manipulowaniu komórkami pamięci poprzez wielokrotne, szybkie odczytywanie sąsiednich rzędów, działa na pamięci GDDR (Graphics Double Data Rate) używanej powszechnie w kartach graficznych.
Udany atak na GPU uruchamiające modele AI może mieć, jak to określili naukowcy, „katastrofalne skutki”, obniżając dokładność modelu z 80% do zaledwie 0,1%. – Taka degradacja byłaby katastrofalna w skutkach – mówi Gururaj Saileshwar, profesor nadzwyczajny na wydziale informatyki. Ucierpieć mogą aplikacje AI wspomagające analizę obrazów medycznych czy systemy wykrywania oszustw finansowych.
W ataku Rowhammer, poprzez intensywne i powtarzalne operacje na sąsiednich komórkach pamięci, dochodzi do zakłóceń elektrycznych i przekłamania bitów danych. Pozwala to na obejście zabezpieczeń lub przejęcie kontroli nad systemem.
– Tradycyjnie bezpieczeństwo rozważano na poziomie oprogramowania, ale coraz częściej obserwujemy fizyczne efekty na poziomie sprzętu, które mogą być wykorzystywane jako luki – tłumaczy Saileshwar.
Wraz ze studentami, Chrisem (Shaopeng) Linem i Joyce Qu, Saileshwar opracował demonstracyjny atak GPUHammer, wymierzony w pamięć GDDR6 karty NVIDIA RTX A6000, popularnej w obliczeniach o wysokiej wydajności. Odkryli, że pojedyncze przekłamanie bitu w wadze modelu AI może drastycznie obniżyć jego dokładność.
Jak podkreśla Saileshwar, to zupełnie nowy sposób, w jaki modele AI mogą zawieść na poziomie sprzętowym. Wyniki badań zostały zaakceptowane na sympozjum USENIX Security Symposium 2025.
Kto jest najbardziej narażony?
Najbardziej narażeni są użytkownicy zarządzający środowiskami chmurowymi. W chmurze wielu użytkowników może jednocześnie korzystać z tego samego GPU, co umożliwia atakującemu manipulowanie przetwarzaniem danych innego użytkownika.
Saileshwar zwraca uwagę na różnice między pamięcią CPU i GPU. Atak na GPU jest trudniejszy ze względu na szybsze odświeżanie pamięci, wolniejsze opóźnienia i inne różnice architektoniczne. Ostatecznie, naukowcy wykorzystali paralelizm GPU – jego zdolność do wykonywania wielu operacji jednocześnie – aby zoptymalizować wzorce „młotkowania”, co doprowadziło do przekłamań bitów i udanego ataku.
– „Młotkowanie” na GPU jest jak młotkowanie na oślep – mówi Saileshwar, dodając, że zespół niemal zrezygnował po wielu nieudanych próbach wywołania przekłamań bitów.
Reakcja Nvidii i potencjalne rozwiązania
Jeszcze w tym roku, naukowcy poinformowali firmę NVIDIA o swoich odkryciach. W lipcu, amerykański gigant wydał powiadomienie o bezpieczeństwie dla swoich klientów.
NVIDIA zaleca włączenie funkcji ECC (Error Correction Code), która może odpierać ataki GPUHammer. Niestety, naukowcy odkryli, że to rozwiązanie spowalnia zadania uczenia maszynowego nawet o 10%. Ostrzegają też, że przyszłe ataki, powodujące więcej przekłamań bitów, mogą być w stanie pokonać nawet zabezpieczenia ECC.
Konieczność dalszych badań
Odkrycia podkreślają potrzebę zwrócenia większej uwagi na bezpieczeństwo GPU – obszar, w którym, jak mówi Saileshwar, praca dopiero się zaczyna.
– Dalsze badania prawdopodobnie ujawnią więcej problemów. A to ważne, ponieważ na GPU uruchamiamy niezwykle cenne zadania. Modele AI są wykorzystywane w rzeczywistych zastosowaniach, takich jak opieka zdrowotna, finanse i cyberbezpieczeństwo. Jeśli istnieją luki, które pozwalają atakującym manipulować tymi modelami na poziomie sprzętu, musimy je znaleźć, zanim zostaną wykorzystane – podsumowuje badacz.
