Khi ngày càng nhiều công ty tăng cường phát triển hệ thống trí tuệ nhân tạo, họ ngày càng chuyển sang sử dụng chip đơn vị xử lý đồ họa (GPU) để có được sức mạnh tính toán cần thiết để chạy các mô hình ngôn ngữ lớn (LLM) và xử lý dữ liệu nhanh chóng ở quy mô lớn. Giữa việc xử lý trò chơi điện tử và AI, nhu cầu về GPU chưa bao giờ cao hơn và các nhà sản xuất chip đang gấp rút tăng cường nguồn cung . Tuy nhiên, trong những phát hiện mới được công bố hôm nay, các nhà nghiên cứu đang nhấn mạnh một lỗ hổng trong nhiều nhãn hiệu và mẫu GPU phổ thông — bao gồm cả chip Apple, Qualcomm và AMD — có thể cho phép kẻ tấn công đánh cắp lượng lớn dữ liệu từ bộ nhớ của GPU.
Ngành công nghiệp silicon đã dành nhiều năm để tinh chỉnh tính bảo mật của các bộ xử lý trung tâm hoặc CPU để chúng không bị rò rỉ dữ liệu trong bộ nhớ ngay cả khi chúng được thiết kế để tối ưu hóa tốc độ. Tuy nhiên, vì GPU được thiết kế cho sức mạnh xử lý đồ họa thô nên chúng chưa được thiết kế ở mức độ tương tự với ưu tiên bảo mật dữ liệu. Tuy nhiên, khi AI tổng quát và các ứng dụng học máy khác mở rộng việc sử dụng các chip này, các nhà nghiên cứu từ công ty bảo mật Trail of Bits có trụ sở tại New York cho biết các lỗ hổng trong GPU là mối lo ngại ngày càng cấp bách.
Heidy Khlaaf, giám đốc kỹ thuật của Trail of Bits về đảm bảo AI và máy học, nói với WIRED: “Có mối lo ngại bảo mật lớn hơn về việc những GPU này không an toàn như lẽ ra phải có và làm rò rỉ một lượng dữ liệu đáng kể”. “Chúng tôi đang xem xét từ 5 megabyte đến 180 megabyte. Trong thế giới CPU, dù chỉ một Bit thôi cũng đã là quá nhiều để tiết lộ.”
Để khai thác lỗ hổng mà các nhà nghiên cứu gọi là LeftoverLocals , kẻ tấn công cần phải thiết lập một số quyền truy cập hệ điều hành trên thiết bị của mục tiêu. Các máy tính và máy chủ hiện đại được thiết kế đặc biệt để chứa dữ liệu riêng biệt để nhiều người dùng có thể chia sẻ cùng một tài nguyên xử lý mà không thể truy cập dữ liệu của nhau. Nhưng một cuộc tấn công của LeftoverLocals đã phá vỡ những bức tường này. Việc khai thác lỗ hổng sẽ cho phép tin tặc lấy cắp dữ liệu mà chúng không thể truy cập từ bộ nhớ cục bộ của các GPU dễ bị tấn công, làm lộ mọi dữ liệu có sẵn ở đó để lấy, có thể bao gồm các truy vấn và phản hồi do LLM tạo ra cũng như trọng lượng thúc đẩy phản ứng.
Trong bằng chứng về khái niệm của họ, như được thấy trong ảnh GIF bên dưới, các nhà nghiên cứu chứng minh một cuộc tấn công trong đó mục tiêu—được hiển thị ở bên trái—yêu cầu LLM Llama.cpp mã nguồn mở cung cấp thông tin chi tiết về tạp chí WIRED. Trong vài giây, thiết bị của kẻ tấn công—hiển thị bên phải—thu thập phần lớn phản hồi do LLM cung cấp bằng cách thực hiện cuộc tấn công LeftoverLocals vào bộ nhớ GPU dễ bị tấn công. Chương trình tấn công mà các nhà nghiên cứu tạo ra sử dụng ít hơn 10 dòng mã.
Mùa hè năm ngoái, các nhà nghiên cứu đã thử nghiệm 11 con chip từ bảy nhà sản xuất GPU và nhiều khung lập trình tương ứng. Họ đã tìm thấy lỗ hổng LeftoverLocals trong GPU của Apple, AMD và Qualcomm, đồng thời đưa ra một tiết lộ phối hợp sâu rộng về lỗ hổng này vào tháng 9 với sự cộng tác của Trung tâm điều phối US-CERT và Khronos Group, một cơ quan tiêu chuẩn tập trung vào đồ họa 3D, học máy, Thực tế tăng cường.
Các nhà nghiên cứu không tìm thấy bằng chứng cho thấy GPU Nvidia, Intel hoặc Arm chứa lỗ hổng LeftoverLocals, nhưng Apple, Qualcomm và AMD đều xác nhận với WIRED rằng chúng bị ảnh hưởng. Điều này có nghĩa là những con chip nổi tiếng như AMD Radeon RX 7900 XT và các thiết bị như iPhone 12 Pro và M2 MacBook Air của Apple đều dễ bị tấn công. Các nhà nghiên cứu không tìm thấy lỗ hổng trong GPU Tưởng tượng mà họ đã thử nghiệm, nhưng những GPU khác có thể dễ bị tấn công.
Người phát ngôn của Apple đã thừa nhận LeftoverLocals và lưu ý rằng công ty đã đưa ra các bản sửa lỗi cho bộ xử lý M3 và A17 mới nhất mà hãng đã công bố vào cuối năm 2023. Điều này có nghĩa là lỗ hổng này dường như vẫn còn tồn tại trên hàng triệu iPhone, iPad và MacBook hiện có phụ thuộc vào trên các thế hệ silicon trước đây của Apple. Vào ngày 10 tháng 1, các nhà nghiên cứu của Trail of Bits đã kiểm tra lại lỗ hổng này trên một số thiết bị Apple. Họ phát hiện ra rằng MacBook Air M2 của Apple vẫn còn lỗ hổng, nhưng iPad Air thế hệ thứ 3 A12 dường như đã được vá lỗi.
Người phát ngôn của Qualcomm nói với WIRED rằng công ty “đang trong quá trình” cung cấp các bản cập nhật bảo mật cho khách hàng của mình, đồng thời nói thêm: “Chúng tôi khuyến khích người dùng cuối áp dụng các bản cập nhật bảo mật khi chúng có sẵn từ các nhà sản xuất thiết bị của họ”. Các nhà nghiên cứu của Trail of Bits cho biết Qualcomm xác nhận họ đã phát hành các bản vá phần sụn cho lỗ hổng này.
AMD đã đưa ra lời khuyên bảo mật vào thứ Tư, nêu chi tiết kế hoạch cung cấp các bản sửa lỗi cho LeftoverLocals. Các biện pháp bảo vệ sẽ là “các biện pháp giảm thiểu tùy chọn” được phát hành vào tháng 3.
Về phần mình, Google cho biết trong một tuyên bố rằng họ “đã biết về lỗ hổng này ảnh hưởng đến GPU của AMD, Apple và Qualcomm. Google đã phát hành bản sửa lỗi cho các thiết bị ChromeOS có GPU AMD và Qualcomm bị ảnh hưởng.”
Các nhà nghiên cứu của Trail of Bits cảnh báo rằng thực sự việc phát triển các bản sửa lỗi khác nhau này sẽ không dễ dàng. Ngay cả khi các nhà sản xuất GPU phát hành các bản vá có thể sử dụng được, các nhà sản xuất thiết bị tích hợp chip của họ vào máy tính cá nhân và các thiết bị khác sau đó phải đóng gói và chuyển tiếp các biện pháp bảo vệ cho người dùng cuối. Với rất nhiều người tham gia trong hệ sinh thái công nghệ toàn cầu, thật khó để phối hợp tất cả các bên.
Mặc dù việc khai thác lỗ hổng sẽ yêu cầu một số quyền truy cập hiện có vào thiết bị của mục tiêu, nhưng những tác động tiềm tàng rất đáng kể vì những kẻ tấn công có động cơ cao thường thực hiện các vụ hack bằng cách xâu chuỗi nhiều lỗ hổng lại với nhau. Hơn nữa, việc thiết lập “quyền truy cập ban đầu” vào một thiết bị đã là cần thiết đối với nhiều loại tấn công kỹ thuật số phổ biến.
Tyler Sorensen, kỹ sư nghiên cứu bảo mật tại Trail of Bits , người đã tìm thấy: “Nếu bạn truy cập được vào cùng một hệ thống, bạn có thể lắng nghe ai đó và phản hồi của phiên trò chuyện LLM—đây là một việc dễ dàng thực hiện”. lỗ hổng này và là nhà nghiên cứu kỹ thuật bảo mật tại Đại học California, Santa Cruz.
Các nhà nghiên cứu lưu ý rằng rò rỉ từ quy trình học máy trong các ứng dụng khác có thể rất nhạy cảm, chẳng hạn như nếu một ứng dụng y tế di động kết hợp hỗ trợ bệnh nhân AI. Nhưng GPU có thể xử lý bất kỳ thứ gì và quyền riêng tư dữ liệu trong bộ nhớ là yếu tố nền tảng phải được tích hợp vào silicon ngay từ đầu. Trong sáu năm kể từ khi lỗ hổng bộ xử lý Spectre và Meltdown CPU được tiết lộ , các nhà sản xuất chip đã đầu tư đáng kể năng lượng vào việc tăng cường và tinh chỉnh các biện pháp bảo vệ bộ nhớ, không chỉ thông qua các bản vá chương trình cơ sở cho các chip hiện có mà còn bằng cách thực hiện các cải tiến vật lý đối với cách thiết kế CPU. Những thay đổi phần cứng này phải mất nhiều năm để thực hiện vì quy trình sản xuất đã được lên kế hoạch từ trước.
AMD cho biết về Trail of Nghiên cứu Bits . Công ty quy định rằng “AMD cũng tin rằng không có bất kỳ phần nào khác của hệ thống bị lộ và không có dữ liệu người dùng nào bị xâm phạm”.
Tuy nhiên, trên thực tế, các lỗ hổng bộ nhớ bộ xử lý trong nhiều năm đã minh họa những rủi ro tiềm ẩn và tầm quan trọng của việc giải quyết các lỗ hổng đó. “Chúng tôi đã thấy những rò rỉ này đã được vá, tiết lộ những thứ như dữ liệu trình duyệt web và những thứ đó rất nhạy cảm,” Khlaaf của Trail of Bits nói, đề cập đến các ví dụ trước đây về rò rỉ liên quan đến bộ nhớ từ chip.
Trong những tháng gần đây, những phát hiện khác về tính không an toàn của GPU đã nhấn mạnh mối đe dọa tiềm ẩn về rò rỉ thông tin trong các bộ xử lý quan trọng và ngày càng phổ biến này. Khi AI phát triển bùng nổ trong 18 tháng qua, các công ty đã chạy đua để mua — và trong một số trường hợp, họ còn tự xây dựng GPU nhanh hơn và có khả năng cao hơn của riêng mình. Các nhà nghiên cứu của Trail of Bits cho biết lỗ hổng LeftoverLocals nhấn mạnh rằng nhiều thành phần cần thiết để phát triển và chạy máy học nói chung có “rủi ro bảo mật không xác định” và “chưa được các chuyên gia bảo mật xem xét nghiêm ngặt”.
Các nhà nghiên cứu cho biết LeftoverLocals là một phần của phong trào quan trọng nhằm nâng cao nhận thức về nhu cầu cải tiến bảo mật GPU tương tự như những cải tiến đã được triển khai cho CPU. Điều này đặc biệt cấp bách khi ngày càng nhiều nhà cung cấp, như Apple, kết hợp CPU và GPU với nhau để đạt hiệu quả tối đa trong các sơ đồ được gọi là “hệ thống trên chip” hay SoC.
“GPU có quyền truy cập vào bộ nhớ đầy đủ đó và như chúng tôi đang thấy, có thể khá không an toàn,” Sorensen của Trail of Bits nói. “Thay vì tách nó ra, bạn chỉ cần thả nó vào phần dày của SoC. Và vì vậy, chúng ta cần suy nghĩ kỹ về vấn đề bảo mật GPU, đặc biệt là trong bối cảnh mà GPU hiện có khả năng truy cập vào bộ nhớ CPU.”
Các nhà nghiên cứu cũng cảnh báo rằng các vấn đề bảo mật bộ nhớ GPU và các lỗ hổng như LeftoverLocals sẽ càng trở nên nghiêm trọng hơn khi ảo hóa GPU trở nên phổ biến hơn trong cơ sở hạ tầng đám mây công cộng và nhiều ứng dụng AI chuyển từ triển khai cục bộ sang chạy trong môi trường đám mây dùng chung. Nếu không có những cải cách đáng kể về quyền riêng tư của bộ nhớ GPU, những chuyển đổi này có thể tạo ra mảnh đất màu mỡ cho kẻ tấn công dễ dàng lấy được lượng lớn dữ liệu từ nhiều mục tiêu trong một cuộc tấn công.
“Tôi nghĩ chúng tôi đã tìm ra điều này vào đúng thời điểm,” Sorensen nói. “Rất nhiều nhà cung cấp đám mây lớn không cho phép nhiều người dùng trên cùng một máy GPU, nhưng đây có thể là điều sẽ thay đổi trong tương lai. Vì vậy, tôi nghĩ chúng ta chỉ cần nhận thức rõ hơn về điều này và có thêm mô hình bảo mật cho GPU cũng như cách chúng được triển khai. Điều này sẽ truyền cảm hứng cho mọi người nói, 'Chúng ta cần phải cẩn thận khi làm việc này.'”
