Chyba v milionech grafických procesorů Apple, AMD a Qualcomm by mohla odhalit data AI

Jak stále více společností urychluje vývoj systémů umělé inteligence, stále více se obracejí na čipy grafických procesorů (GPU) kvůli výpočetnímu výkonu, který potřebují k provozu velkých jazykových modelů (LLM) a k rychlému zpracování dat v masovém měřítku. Mezi zpracováním videoher a AI nebyla poptávka po GPU nikdy vyšší a výrobci čipů spěchají s posílením nabídky. V nových zjištěních, která byla dnes zveřejněna, však výzkumníci zdůrazňují zranitelnost v několika značkách a modelech běžných GPU – včetně čipů Apple, Qualcomm a AMD – která by mohla útočníkovi umožnit ukrást velké množství dat z paměti GPU.

Křemíkový průmysl strávil roky zdokonalováním zabezpečení centrálních procesorových jednotek nebo CPU, takže neunikají data v paměti, i když jsou navrženy tak, aby optimalizovaly rychlost. Protože však GPU byly navrženy pro výkon surového grafického zpracování, nebyly navrženy ve stejné míře s prioritou ochrany dat. S tím, jak generativní AI a další aplikace strojového učení rozšiřují použití těchto čipů, výzkumníci z bezpečnostní firmy Trail of Bits se sídlem v New Yorku tvrdí, že zranitelnosti v GPU jsou stále naléhavějším problémem.

„Existuje širší bezpečnostní problém, že tyto GPU nejsou tak bezpečné, jak by měly být, a unikají značné množství dat,“ říká Heidy Khlaaf, inženýrská ředitelka Trail of Bits pro AI a strojové učení, pro WIRED. „Díváme se kdekoli od 5 megabajtů do 180 megabajtů. Ve světě CPU je i trochu příliš mnoho na odhalení.“

Aby útočníci využili zranitelnosti, kterou vědci nazývají LeftoverLocals, museli by mít již vytvořené určité množství přístupu k operačnímu systému na cílovém zařízení. Moderní počítače a servery jsou speciálně navrženy pro sila dat, takže více uživatelů může sdílet stejné zdroje zpracování, aniž by měli přístup k datům ostatních. Ale útok LeftoverLocals tyto zdi zboří. Využití této zranitelnosti by hackerovi umožnilo proniknout k datům, ke kterým by neměl mít přístup, z místní paměti zranitelných GPU a odhalit všechna data, která se tam náhodou nacházejí, což by mohlo zahrnovat dotazy a odpovědi generované LLM a také závaží řídící odezvu.

Ve svém důkazu konceptu, jak je vidět na níže uvedeném GIF, vědci demonstrují útok, kdy cíl – zobrazený vlevo – žádá open source LLM Llama.cpp, aby poskytl podrobnosti o magazínu WIRED. Zařízení útočníka – znázorněné vpravo – během několika sekund shromáždí většinu odpovědi poskytnuté LLM provedením útoku LeftoverLocals na zranitelnou paměť GPU. Útokový program, který výzkumníci vytvořili, používá méně než 10 řádků kódu.

Loni v létě vědci testovali 11 čipů od sedmi výrobců GPU a několik odpovídajících programovacích rámců. Zjistili zranitelnost LeftoverLocals v GPU od společností Apple, AMD a Qualcomm a v září zahájili dalekosáhlé koordinované odhalení této zranitelnosti ve spolupráci s koordinačním centrem US-CERT a Khronos Group, normalizačním orgánem zaměřeným na 3D grafiku, strojové učení a virtuální a rozšířená realita.

Výzkumníci nenašli důkaz, že GPU Nvidia, Intel nebo Arm obsahují zranitelnost LeftoverLocals, ale Apple, Qualcomm a AMD potvrdily WIRED, že jsou ovlivněny. To znamená, že dobře známé čipy jako AMD Radeon RX 7900 XT a zařízení jako Apple iPhone 12 Pro a M2 MacBook Air jsou zranitelné. Výzkumníci nenašli chybu v testovaných GPU Imagination, ale ostatní mohou být zranitelní.

Mluvčí Applu uznal LeftoverLocals a poznamenal, že společnost dodala opravy se svými nejnovějšími procesory M3 a A17, které představila na konci roku 2023. To znamená, že tato zranitelnost je zdánlivě stále přítomna v milionech stávajících iPhonů, iPadů a MacBooků, které jsou závislé. na předchozích generacích křemíku Apple. 10. ledna výzkumníci Trail of Bits znovu otestovali zranitelnost na řadě zařízení Apple. Zjistili, že Apple M2 MacBook Air byl stále zranitelný, ale iPad Air 3. generace A12 se zdál být opraven.