더 많은 기업이 인공 지능 시스템 개발을 가속화함에 따라 대규모 언어 모델 (LLM)을 실행하고 대규모로 빠르게 데이터를 처리하는 데 필요한 컴퓨팅 성능을 위해 그래픽 처리 장치(GPU) 칩으로 전환하고 있습니다. 비디오 게임 처리와 AI 사이에서 GPU에 대한 수요가 그 어느 때보다 높았으며 칩 제조업체는 공급을 강화 하기 위해 서두르고 있습니다. 그러나 오늘 발표된 새로운 연구 결과에서 연구원들은 공격자가 GPU 메모리에서 대량의 데이터를 훔칠 수 있는 Apple, Qualcomm 및 AMD 칩을 포함한 여러 브랜드 및 주류 GPU 모델의 취약점을 강조하고 있습니다.
실리콘 업계는 중앙 처리 장치(CPU)의 보안을 개선하는 데 수년을 투자해 왔습니다. 따라서 속도를 최적화하도록 구축된 경우에도 메모리의 데이터가 누출되지 않습니다. 그러나 GPU는 원시 그래픽 처리 성능을 위해 설계되었기 때문에 데이터 개인 정보 보호를 최우선으로 고려하여 동일한 수준으로 설계되지 않았습니다. 그러나 생성적 AI 및 기타 기계 학습 애플리케이션이 이러한 칩의 사용을 확장함에 따라 뉴욕에 본사를 둔 보안 회사 Trail of 비츠(Bits) 의 연구원은 GPU의 취약성이 점점 더 긴급한 문제가 되고 있다고 말합니다.
Trail of 비츠(Bits) 의 AI 및 기계 학습 보증 엔지니어링 이사인 Heidy Khlaaf는 "이러한 GPU가 예상만큼 안전하지 않고 상당한 양의 데이터를 유출한다는 점에서 더 광범위한 보안 우려가 있습니다."라고 WIRED에 말했습니다. “우리는 5MB에서 180MB까지 보고 있습니다. CPU 세계에서는 비트(Bit) 이라도 공개하기에는 너무 많습니다.”
연구원들이 LeftoverLocals 라고 부르는 이 취약점을 악용하려면 공격자는 대상 장치에 대해 어느 정도의 운영 체제 액세스 권한을 이미 설정해야 합니다. 최신 컴퓨터와 서버는 데이터를 격리하도록 특별히 설계되어 여러 사용자가 서로의 데이터에 액세스하지 않고도 동일한 처리 리소스를 공유할 수 있습니다. 그러나 LeftoverLocals 공격은 이러한 벽을 무너뜨립니다. 이 취약성을 악용하면 해커가 취약한 GPU의 로컬 메모리에서 액세스할 수 없는 데이터를 유출할 수 있으며, LLM에서 생성된 쿼리 및 응답은 물론 응답을 주도하는 가중치.
아래 GIF에서 볼 수 있듯이 연구원들은 개념 증명 에서 왼쪽에 표시된 대상이 오픈 소스 LLM Llama.cpp에 WIRED 잡지에 대한 세부 정보를 제공하도록 요청하는 공격을 시연합니다. 몇 초 내에 오른쪽에 표시된 공격자의 장치는 취약한 GPU 메모리에 LeftoverLocals 공격을 수행하여 LLM이 제공하는 응답의 대부분을 수집합니다. 연구원들이 만든 공격 프로그램은 10줄 미만의 코드를 사용합니다.
지난 여름, 연구원들은 7개 GPU 제조업체의 11개 칩과 여러 해당 프로그래밍 프레임워크를 테스트했습니다. 그들은 Apple, AMD 및 Qualcomm의 GPU에서 LeftoverLocals 취약점을 발견했으며, US-CERT 조정 센터 및 3D 그래픽에 중점을 둔 표준 기관인 Khronos Group과 협력하여 9월에 이 취약점에 대한 광범위한 공동 공개를 시작했습니다. 머신 러닝, 가상 및 증강 현실.
연구원들은 Nvidia, Intel 또는 Arm GPU에 LeftoverLocals 취약점이 포함되어 있다는 증거를 찾지 못했지만 Apple, Qualcomm 및 AMD는 모두 WIRED에 영향을 받았다고 확인했습니다. 이는 AMD Radeon RX 7900 XT와 같은 잘 알려진 칩과 Apple의 iPhone 12 Pro 및 M2 MacBook Air와 같은 장치가 취약하다는 것을 의미합니다. 연구원들은 테스트한 Imagination GPU에서 결함을 발견하지 못했지만 다른 GPU에서는 취약할 수 있습니다.
Apple 대변인은 LeftoverLocals를 인정하고 회사가 2023년 말에 공개한 최신 M3 및 A17 프로세서와 함께 수정 사항을 제공했다고 언급했습니다. 이는 이 취약점이 의존하는 수백만 대의 기존 iPhone, iPad 및 MacBook에 여전히 존재하는 것으로 보인다는 것을 의미합니다. 이전 세대의 Apple 실리콘에 대해. 1월 10일, Trail of 비츠(Bits) 연구원들은 여러 Apple 기기에서 취약점을 다시 테스트했습니다. 그들은 Apple의 M2 MacBook Air가 여전히 취약하다는 사실을 발견했지만, iPad Air 3세대 A12에는 패치가 적용된 것으로 나타났습니다.
Qualcomm 대변인은 WIRED와의 인터뷰에서 회사가 고객에게 보안 업데이트를 제공하는 '진행 중'이라며 "기기 제조업체에서 보안 업데이트가 제공되는 대로 최종 사용자가 보안 업데이트를 적용할 것을 권장합니다"라고 덧붙였습니다. Trail of 비츠(Bits) 연구원들은 Qualcomm이 이 취약점에 대한 펌웨어 패치를 출시했음을 확인했다고 밝혔습니다.
AMD는 수요일에 LeftoverLocals에 대한 수정 사항을 제공할 계획을 자세히 설명하는 보안 권고를 발표했습니다 . 보호 기능은 3월에 출시된 "선택적 완화"입니다.
구글은 성명을 통해 “AMD, 애플, 퀄컴 GPU에 영향을 미치는 이 취약점을 인지하고 있습니다. Google은 AMD 및 Qualcomm GPU에 영향을 미치는 ChromeOS 기기에 대한 수정 사항을 출시했습니다.
Trail of 비츠(Bits) 연구원들은 실제로 이러한 다양한 수정 사항을 확산시키는 것이 쉽지 않을 것이라고 경고합니다. GPU 제조업체가 사용 가능한 패치를 출시하더라도 칩을 개인용 컴퓨터 및 기타 장치에 통합하는 장치 제조업체는 보호 기능을 패키징하여 최종 사용자에게 전달해야 합니다. 글로벌 기술 생태계에는 참여자가 너무 많아서 모든 당사자를 조정하는 것이 어렵습니다.
취약점을 악용하려면 대상 장치에 대한 기존 액세스가 어느 정도 필요하지만, 동기가 높은 공격자가 여러 취약점을 함께 연결하여 해킹을 수행하는 것이 일반적이라는 점을 고려할 때 잠재적인 영향은 중요합니다. 또한, 많은 일반적인 유형의 디지털 공격에는 장치에 대한 "초기 액세스" 설정이 이미 필요합니다.
Trail of 비츠(Bits) 의 보안 연구 엔지니어인 Tyler Sorensen은 "동일한 시스템을 사용하면 LLM 채팅 세션의 응답과 누군가의 말을 들을 수 있습니다. 이는 매우 간단한 작업이었습니다."라고 말합니다. 취약점을 연구하고 있으며 캘리포니아 대학교 산타 크루즈 캠퍼스의 보안 엔지니어링 연구원입니다.
연구원들은 다른 애플리케이션의 기계 학습 프로세스에서 누출이 매우 민감할 수 있다고 지적합니다. 예를 들어 모바일 의료 건강 앱에 AI 환자 지원이 통합되어 있는 경우입니다. 그러나 GPU는 많은 작업을 처리할 수 있으며, 메모리 내 데이터 프라이버시는 처음부터 실리콘에 내장되어야 하는 기본 요소입니다. Spectre 및 Meltdown CPU 프로세서 취약점이 공개된 이후 6년 동안 칩 제조업체는 기존 칩의 펌웨어 패치뿐만 아니라 CPU 설계 방식을 물리적으로 개선하여 메모리 보호를 강화하고 개선하는 데 상당한 에너지를 투자했습니다. 제조 파이프라인이 훨씬 미리 계획되어 있기 때문에 이러한 하드웨어 변경을 구현하는 데 수년이 걸립니다.
AMD는 "사용자가 악성 소프트웨어와 동일한 로컬 컴퓨터에서 실행 중인 경우 작동 중 데이터 임시 저장에 사용되는 GPU 프로그램 스크래치패드 메모리의 최종 내용을 악의적인 행위자가 볼 수 있습니다"라고 말했습니다. 비츠(Bits) 연구. 회사는 "AMD는 또한 시스템의 다른 부분에 노출되지 않으며 사용자 데이터가 손상되지 않는다고 믿습니다"라고 명시했습니다.
그러나 실제로는 수년간의 프로세서 메모리 취약점으로 인해 잠재적인 위험과 그러한 결함을 해결하는 것의 중요성이 드러났습니다. Trail of 비츠(Bits) 의 Khlaaf는 칩에서 발생한 메모리 관련 누출의 과거 사례를 언급하면서 "우리는 웹 브라우저 데이터와 같은 정보를 공개하고 매우 민감한 패치가 적용된 이러한 누출을 보았습니다."라고 말했습니다.
최근 몇 달 동안 GPU 보안에 대한 다른 조사 결과는 점점 더 대중화되고 중요한 프로세서에서 정보 유출의 잠재적인 위협을 강조했습니다. 지난 18개월 동안 생성 AI가 붐을 이루면서 기업들은 더 빠르고 성능이 뛰어난 GPU를 구매하고 경우에 따라 직접 구축하기 위해 경쟁해 왔습니다. Trail of 비츠(Bits) 연구원들은 LeftoverLocals 취약점이 일반적으로 기계 학습을 개발하고 실행하는 데 필요한 많은 구성 요소에 "알려지지 않은 보안 위험"이 있고 "보안 전문가가 엄격하게 검토하지 않았다"는 점을 강조한다고 말합니다.
연구원들은 LeftoverLocals가 CPU에 구현된 것과 유사한 GPU 보안 개선의 필요성에 대한 인식을 높이는 중요한 운동의 일부라고 말합니다. 이는 Apple과 같은 더 많은 공급업체가 "시스템 온 칩(systems-on-a-chip)" 또는 SoC로 알려진 체계에서 최대 효율성을 위해 CPU와 GPU를 통합함에 따라 특히 시급합니다.
Trail of 비츠(Bits) 의 Sorensen은 "GPU는 전체 메모리에 액세스할 수 있으며, 우리가 보고 있는 것처럼 매우 안전하지 않을 수 있습니다."라고 말합니다. “분리하는 것이 아니라 SoC의 두꺼운 부분에 떨어뜨리는 것뿐입니다. 따라서 우리는 GPU 보안에 대해 열심히 생각해야 하며, 특히 GPU가 이제 잠재적으로 CPU 메모리에도 액세스할 수 있는 상황에서는 더욱 그렇습니다.”
연구원들은 또한 GPU 가상화가 퍼블릭 클라우드 인프라에서 더욱 보편화되고 더 많은 AI 애플리케이션이 로컬에서 구현되는 것에서 공유 클라우드 환경에서 실행되는 것으로 이동함에 따라 LeftoverLocals와 같은 GPU 메모리 보안 문제와 취약점이 더욱 심각해질 것이라고 경고했습니다. GPU 메모리 개인 정보 보호에 대한 대대적인 개혁 없이 이러한 전환은 공격자가 단일 공격으로 수많은 대상에서 대량의 데이터를 쉽게 얻을 수 있는 비옥한 기반을 만들 수 있습니다.
Sorensen은 “적절한 시기에 이 문제를 발견했다고 생각합니다.”라고 말했습니다. “많은 주요 클라우드 제공업체는 동일한 GPU 시스템에서 여러 사용자를 허용하지 않지만 이는 앞으로 바뀔 가능성이 높습니다. 따라서 우리는 이 점을 극도로 인식하고 GPU에 대한 보안 모델과 GPU 배포 방법을 더 많이 갖추어야 한다고 생각합니다. 이는 사람들이 '우리는 이 일을 할 때 조심해야 한다'고 말하도록 영감을 줄 것입니다.”
