GPUHammer: най-мощното оръжие срещу ИИ се крие там, където най-малко се очаква
Дори най-мощните графични карти на NVIDIA са беззащитни пред нова офанзива.
NVIDIA предизвести за нова накърнимост в графичните си процесори, наречена GPUHammer. Атаката, основана на добре познатата техника RowHammer, разрешава на нападателите да повреждат данните на другите консуматори, като злоупотребяват с функционалностите на RAM паметта на графичните карти.
За първи път беше демонстрирано, че офанзивите RowHammer могат да бъдат осъществени в графичните процесори, а не в обичайните процесори. Като образец специалистите използваха графичната карта NVIDIA A6000 с GDDR6 памет, при което съумяха да трансформират обособени битове във видеопаметта. По този метод може да се унищожи целостта на данните без директен достъп до тях.
Особена угриженост буди фактът, че даже единично катурване на единствено един обичай може да наруши точността на изкуствения разсъдък: модел, подготвен на ImageNet, който преди този момент е показал 80-процентна акуратност, в резултат на офанзивата точността мо пада към този момент едвам под 1%.
Това влияние трансформира GPUHammer от техническа особеност в мощен инструмент за нарушение инфраструктурата на изкуствения разсъдък, в това число подправяне на вътрешните параметри на моделите и отравяне на данните за образование.
За разлика от процесорите графичните ускорители нормално не разполагат с вградени механизми за сигурност, като да вземем за пример надзор на достъпа на равнище указания или инспекция на четността.
Това ги прави по-уязвими към офанзиви от ниско равнище, изключително в споделените изчислителни среди като облачни платформи или виртуални настолни компютри. В такива системи евентуално злонамереният консуматор може да повлияе на прилежащите задания, без да има директен достъп до тях, което основава опасности на равнище наемател.
Предишни проучвания, в това число методологията SpecHammer, комбинираха уязвимостите RowHammer и Spectre за осъществяване на офанзиви посредством спекулативно осъществяване на команди. GPUHammer продължава тази наклонност, демонстрирайки опция за офанзива даже при съществуването на отбрани като Target Row Refresh (TRR), считани преди за надеждна защитна мярка.
Последиците от сходни офанзиви са изключително рискови за промишленостите с високи условия за сигурност и бистрота – изключително за опазването на здравето, финансите и самостоятелните системи. Появата на неконтролирани изкривявания на ИИ може да наруши разпореждания като ISO/IEC 27001 и европейското законодателство за ИИ, изключително при взимане на решения въз основа на развалени модели.
За да се понижат рисковете, NVIDIA предлага да се задейства функционалността ECC (корекция на грешките в паметта), като се употребява командата „ nvidia-smi -e 1 “. Нейното положение можете да се ревизира с командата „ nvidia-smi -q | grep ECC “. В някои случаи е задоволително да се задейства ECC единствено за подготвителните възли или сериозните работни натоварвания. Трябва също по този начин да се наблюдават систематичните логове за корекции на неточности в паметта, с цел да се открият в точния момент възможните офанзиви.
Струва си да се има поради, че включването на ECC понижава продуктивността на машинното образование на графичния процесор A6000 с към 10% и понижава наличния размер на паметта с 6,25%. Най-новите модели графични процесори, като H100 и RTX 5090, обаче не са наранени от тази накърнимост – те употребяват промяна на грешките в самия чип.
Допълнително безпокойствие провокира обвързван с това неотдавнашен експлойт, озаглавен CrowHammer, показан от екип от NTT Social Informatics Laboratories и CentraleSupélec. В този случай офанзивата възвръща частния ключ на логаритъма за постквантов автограф Falcon, определен за стандартизация от NIST. Изследователите демонстрираха, че даже индивидуален преправен обичай може да докара до сполучливото възобновяване на ключове с няколкостотин милиона подписа при повече изкривявания, с по-малко данни.
Всичко това, взето дружно, сочи нуждата от преосмисляне на методите към сигурността на ИИ моделите и инфраструктурата, върху която те работят. Обикновената отбрана на равнище данни към този момент не е задоволителна – би трябвало да разгледаме уязвимостите, които пораждат на хардуерно равнище, чак до архитектурата на видеопаметта.
