AMD, Apple и Qualcomm откриха уязвимост в своите графики, която им позволява да “подслушват“ отговорите на AI
Експертите по киберсигурност в Trail of Bits откриха уязвимостта LeftoverLocals, която визира графичните процесори на AMD, Apple и Qualcomm, позволявайки на нападателите да прихващат данните от паметта при взаимоотношението с жертвата и локално работещия модел с изкуствен интелект.
Разработчиците на централни процесори са прекарали години в рационализиране на сигурността на процесора и попречване на течове от паметта, даже когато продуктивността е приоритет. Графичните процесори в началото са били проектирани за самите графични приложения, без да се има поради поверителността на данните. Но през днешния ден те се употребяват като ускорители за AI-алгоритмите, а уязвимостите на GPU стават все по-належащ проблем.
За да се възползва от уязвимостта LeftoverLocals, нападателят би трябвало да получи прочут достъп до операционната система на целевото устройство. Съвременните работни станции и сървъри са проектирани да разрешават на множеството консуматори да работят и съхраняват данните дружно — те имат метод да ги изолират един от различен — само че офанзивата LeftoverLocals унищожава тези бариери. В резултат на това, хакерът може да извлече данни от разпределената за GPU местна памет, до която не би трябвало да има достъп.
Авторите на проучването демонстрираха по какъв начин работи тази офанзива — те са стартирали локално огромен езиков модел LLaMA със 7 милиарда параметъра, употребявайки видеокартата AMD Radeon RX 7900 XT, задали са въпрос на AI и са „ подслушвали “ отговора. Получените от тях данни съвсем изцяло съответстват с действителния отговор на системата. Атаката изисква по-малко от 10 реда код за нейното осъществяване.
Миналото лято те тестваха 11 чипа от 7 производителя на графични процесори в няколко софтуерни среди. Уязвимостта LeftoverLocals е открита в графиките на AMD, Apple и Qualcomm; Впоследствие Гугъл удостовери нейното наличие в някои модели Imagination; Наличието на уязвимости за NVIDIA, Intel и Arm графиките не може да бъде доказано. Говорител на Apple призна казуса и сподели, че уязвимостта е била поправена за M3 и A17 чиповете, което евентуално значи, че по-ранните модели ще останат уязвими. Qualcomm сподели пред Wired, че компанията е ‘в процес’ на стартиране на актуализации за сигурност на своите клиенти; Според Trail of Bits, компанията е пуснала всички нужни актуализации на фърмуера. AMD сподели на своя уебсайт, че софтуерна актуализация ще бъде пусната през март, която ще помогне за „ селективното намаляване на резултатите “ от LeftoverLocals. Гугъл заяви, че е пуснала актуализация на ChromeOS за устройствата, основани на чиповете AMD и Qualcomm.
Въпреки това, Trail of Bits предизвестява, че може да не е елементарно за крайните консуматори да получат всички тези софтуерни актуализации. Производителите на чипове пускат нови версии на фърмуера, а фирмите за произвеждане на компютри и съставни елементи ги внедряват в най-новите версии на личния си програмен продукт, който след това се трансферира на крайните притежатели на оборудването. Предвид огромния брой играчи на международния софтуерен пазар, координирането на дейностите на всички страни не е елементарно. За да работите с LeftoverLocals, е належащо несъмнено равнище на достъп до целевите устройства, само че актуалните хакове се правят посредством цели вериги от уязвимости и това може да е единствено една от връзките.
От друга страна, откривателите са открили, че организирането на офанзива посредством LeftoverLocals наподобява малко евентуално в сюжетите на облачните провайдери, мобилните приложения и хакването посредством уеб-ресурси. Но производителите на графични процесори ще би трябвало да свикнат с концепцията, че ще вземат поради и поверителността на данните, защото графичните карти сега се употребяват за освен това от обработка на графики.
