GPUHammer: самое мощное оружие против ИИ пряталось там, где его меньше всего ожидали
NewsMakerДаже мощнейшие видеокарты NVIDIA оказались беззащитны против новой атаки.
NVIDIA предупредила о новой уязвимости в своих графических процессорах, получившей название GPUHammer. Эта атака, основанная на известной технике RowHammer , позволяет злоумышленникам искажать данные других пользователей, эксплуатируя особенности работы оперативной памяти в видеокартах.
Впервые была продемонстрирована возможность реализации RowHammer-атаки на GPU, а не на традиционных процессорах. В качестве примера специалисты использовали видеокарту NVIDIA A6000 с памятью GDDR6, где удалось добиться изменения отдельных битов в видеопамяти. Это может привести к разрушению целостности данных без прямого доступа к ним.
Особую обеспокоенность вызывает тот факт, что даже один бит-флип способен обрушить точность искусственного интеллекта: модель, обученная на ImageNet и ранее демонстрировавшая 80% точности, в результате атаки показала менее 1%. Такое влияние превращает GPUHammer из технической аномалии в мощный инструмент разрушения ИИ-инфраструктуры, включая подмену внутренних параметров модели и отравление обучающих данных.
В отличие от процессоров, графические ускорители зачастую не обладают встроенными механизмами защиты, такими как контроль доступа на уровне инструкций или проверки чётности. Именно это делает их более уязвимыми к атакам низкого уровня, особенно в условиях разделяемых вычислительных сред — например, в облачных платформах или виртуальных рабочих столах. В таких системах потенциально злонамеренный пользователь может воздействовать на соседние задачи, не имея к ним прямого доступа, что создаёт риски на уровне арендаторов.
Предыдущие исследования, включая методику SpecHammer, объединяли уязвимости RowHammer и Spectre для проведения атак через спекулятивное выполнение команд. GPUHammer продолжает эту тенденцию, демонстрируя возможность атаки даже при наличии защитных механизмов вроде Target Row Refresh (TRR), ранее считавшихся надёжной мерой предосторожности.
Последствия таких атак особенно опасны для отраслей с повышенными требованиями к безопасности и прозрачности — в частности, здравоохранения, финансов и автономных систем. Появление неконтролируемых искажающих факторов в работе ИИ может нарушать нормативы вроде ISO/IEC 27001 или требований европейского законодательства в сфере ИИ, особенно при принятии решений на основе повреждённых моделей.
Чтобы снизить риски, NVIDIA рекомендует активировать функцию ECC (коррекция ошибок памяти) с помощью команды «nvidia-smi -e 1». Проверить её статус можно через «nvidia-smi -q | grep ECC». В некоторых случаях допустимо включение ECC только для тренировочных узлов или критически важных рабочих нагрузок. Также стоит отслеживать системные логи на предмет исправлений ошибок памяти, чтобы своевременно обнаруживать возможные атаки.
Стоит учитывать, что включение ECC снижает производительность машинного обучения на GPU A6000 примерно на 10% и уменьшает доступный объём памяти на 6,25%. Однако новейшие модели GPU, такие как H100 и RTX 5090, не подвержены данной уязвимости — они используют встроенную на кристалле коррекцию ошибок.
Дополнительное беспокойство вызывает связанная недавняя разработка под названием CrowHammer, представленная командой из NTT Social Informatics Laboratories и CentraleSupélec. В этом случае атака позволила восстановить закрытый ключ постквантового алгоритма подписи Falcon, избранного для стандартизации NIST. Исследователи показали, что даже единичный целенаправленный бит-флип может привести к успешному извлечению ключа при наличии нескольких сотен миллионов подписей, а при большем числе искажений — и при меньшем объёме данных.
Суммарно всё это указывает на необходимость пересмотра подходов к безопасности ИИ-моделей и инфраструктуры, на которых они работают. Простая защита на уровне данных уже недостаточна — нужно учитывать уязвимости, возникающие на аппаратном уровне, вплоть до архитектуры видеопамяти.
NVIDIA предупредила о новой уязвимости в своих графических процессорах, получившей название GPUHammer. Эта атака, основанная на известной технике RowHammer , позволяет злоумышленникам искажать данные других пользователей, эксплуатируя особенности работы оперативной памяти в видеокартах.
Впервые была продемонстрирована возможность реализации RowHammer-атаки на GPU, а не на традиционных процессорах. В качестве примера специалисты использовали видеокарту NVIDIA A6000 с памятью GDDR6, где удалось добиться изменения отдельных битов в видеопамяти. Это может привести к разрушению целостности данных без прямого доступа к ним.
Особую обеспокоенность вызывает тот факт, что даже один бит-флип способен обрушить точность искусственного интеллекта: модель, обученная на ImageNet и ранее демонстрировавшая 80% точности, в результате атаки показала менее 1%. Такое влияние превращает GPUHammer из технической аномалии в мощный инструмент разрушения ИИ-инфраструктуры, включая подмену внутренних параметров модели и отравление обучающих данных.
В отличие от процессоров, графические ускорители зачастую не обладают встроенными механизмами защиты, такими как контроль доступа на уровне инструкций или проверки чётности. Именно это делает их более уязвимыми к атакам низкого уровня, особенно в условиях разделяемых вычислительных сред — например, в облачных платформах или виртуальных рабочих столах. В таких системах потенциально злонамеренный пользователь может воздействовать на соседние задачи, не имея к ним прямого доступа, что создаёт риски на уровне арендаторов.
Предыдущие исследования, включая методику SpecHammer, объединяли уязвимости RowHammer и Spectre для проведения атак через спекулятивное выполнение команд. GPUHammer продолжает эту тенденцию, демонстрируя возможность атаки даже при наличии защитных механизмов вроде Target Row Refresh (TRR), ранее считавшихся надёжной мерой предосторожности.
Последствия таких атак особенно опасны для отраслей с повышенными требованиями к безопасности и прозрачности — в частности, здравоохранения, финансов и автономных систем. Появление неконтролируемых искажающих факторов в работе ИИ может нарушать нормативы вроде ISO/IEC 27001 или требований европейского законодательства в сфере ИИ, особенно при принятии решений на основе повреждённых моделей.
Чтобы снизить риски, NVIDIA рекомендует активировать функцию ECC (коррекция ошибок памяти) с помощью команды «nvidia-smi -e 1». Проверить её статус можно через «nvidia-smi -q | grep ECC». В некоторых случаях допустимо включение ECC только для тренировочных узлов или критически важных рабочих нагрузок. Также стоит отслеживать системные логи на предмет исправлений ошибок памяти, чтобы своевременно обнаруживать возможные атаки.
Стоит учитывать, что включение ECC снижает производительность машинного обучения на GPU A6000 примерно на 10% и уменьшает доступный объём памяти на 6,25%. Однако новейшие модели GPU, такие как H100 и RTX 5090, не подвержены данной уязвимости — они используют встроенную на кристалле коррекцию ошибок.
Дополнительное беспокойство вызывает связанная недавняя разработка под названием CrowHammer, представленная командой из NTT Social Informatics Laboratories и CentraleSupélec. В этом случае атака позволила восстановить закрытый ключ постквантового алгоритма подписи Falcon, избранного для стандартизации NIST. Исследователи показали, что даже единичный целенаправленный бит-флип может привести к успешному извлечению ключа при наличии нескольких сотен миллионов подписей, а при большем числе искажений — и при меньшем объёме данных.
Суммарно всё это указывает на необходимость пересмотра подходов к безопасности ИИ-моделей и инфраструктуры, на которых они работают. Простая защита на уровне данных уже недостаточна — нужно учитывать уязвимости, возникающие на аппаратном уровне, вплоть до архитектуры видеопамяти.