Дори най-мощните графични карти на NVIDIA са беззащитни пред нова атака.

NVIDIA предупреди за нова уязвимост в графичните си процесори, наречена GPUHammer. Атаката, базирана на добре познатата техника RowHammer, позволява на нападателите да увреждат данните на другите потребители, като злоупотребяват с функциите на RAM паметта на графичните карти.

За първи път беше демонстрирано, че атаките RowHammer могат да бъдат реализирани в графичните процесори, а не в традиционните процесори. Като пример експертите използваха графичната карта NVIDIA A6000 с GDDR6 памет, при което успяха да променят отделни битове във видеопаметта. По този начин може да се разруши целостта на данните без пряк достъп до тях.

Особена загриженост буди фактът, че дори единично преобръщане на само един бит може да наруши точността на изкуствения интелект: модел, обучен на ImageNet, който преди това е демонстрирал 80-процентна точност, вследствие на атаката точността мо пада вече едва под 1%.

Това въздействие превръща GPUHammer от техническа аномалия в мощен инструмент за нарушаване инфраструктурата на изкуствения интелект, включително подправяне на вътрешните параметри на моделите и отравяне на данните за обучение.

За разлика от процесорите графичните ускорители обикновено не разполагат с вградени механизми за сигурност, като например контрол на достъпа на ниво инструкции или проверка на четността.

Това ги прави по-уязвими към атаки от ниско ниво, особено в споделените изчислителни среди като облачни платформи или виртуални настолни компютри. В такива системи потенциално злонамереният потребител може да повлияе на съседните задачи, без да има пряк достъп до тях, което създава рискове на ниво наемател.

Предишни изследвания, включително методологията SpecHammer, комбинираха уязвимостите RowHammer и Spectre за провеждане на атаки чрез спекулативно изпълнение на команди. GPUHammer продължава тази тенденция, демонстрирайки възможност за атака дори при наличието на защити като Target Row Refresh (TRR), считани преди за надеждна предпазна мярка.

Последиците от подобни атаки са особено опасни за индустриите с високи изисквания за сигурност и прозрачност – особено за здравеопазването, финансите и автономните системи. Появата на неконтролирани изкривявания на ИИ може да наруши разпоредби като ISO/IEC 27001 и европейското законодателство за ИИ, особено при вземане на решения въз основа на повредени модели.

За да се намалят рисковете, NVIDIA препоръчва да се активира функцията ECC (корекция на грешките в паметта), като се използва командата „nvidia-smi -e 1“. Нейното състояние можете да се проверява с командата „nvidia-smi -q | grep ECC“. В някои случаи е приемливо да се активира ECC само за тренировъчните възли или критичните работни натоварвания. Трябва също така да се следят системните логове за корекции на грешки в паметта, за да се открият навреме евентуалните атаки.

Струва си да се има предвид, че включването на ECC намалява производителността на машинното обучение на графичния процесор A6000 с около 10% и намалява наличния размер на паметта с 6,25%. Най-новите модели графични процесори, като H100 и RTX 5090, обаче не са засегнати от тази уязвимост – те използват корекция на грешките в самия чип.

Допълнително безпокойство предизвиква свързан с това скорошен експлойт, озаглавен CrowHammer, представен от екип от NTT Social Informatics Laboratories и CentraleSupélec. В този случай атаката възстановява частния ключ на алгоритъма за постквантов подпис Falcon, избран за стандартизация от NIST. Изследователите показаха, че дори единичен преправен бит може да доведе до успешното възстановяване на ключове с няколкостотин милиона подписа при повече изкривявания, с по-малко данни.

Всичко това, взето заедно, сочи необходимостта от преосмисляне на подходите към сигурността на ИИ моделите и инфраструктурата, върху която те работят. Обикновената защита на ниво данни вече не е достатъчна – трябва да разгледаме уязвимостите, които възникват на хардуерно ниво, чак до архитектурата на видеопаметта.