随着越来越多的公司加大人工智能系统的开发力度,他们越来越多地转向图形处理单元 (GPU) 芯片,以获得运行大型语言模型(LLM) 和快速大规模处理数据所需的计算能力。在视频游戏处理和人工智能领域,对 GPU 的需求从未如此之高,芯片制造商正忙于增加供应。不过,在今天发布的新发现中,研究人员强调了多个品牌和型号的主流 GPU(包括苹果、高通和 AMD 芯片)中存在的漏洞,该漏洞可能允许攻击者从 GPU 内存中窃取大量数据。
硅行业花费了数年时间来完善中央处理单元(CPU)的安全性,因此即使它们是为了优化速度而构建的,也不会泄漏内存中的数据。然而,由于 GPU 是为原始图形处理能力而设计的,因此它们的架构并未达到与数据隐私同等程度的优先考虑。不过,随着生成式人工智能和其他机器学习应用扩大了这些芯片的用途,纽约安全公司Trail of Bits的研究人员表示,GPU 中的漏洞正成为一个日益紧迫的问题。
Trail of Bits 的 AI 和机器学习保证工程总监 Heidy Khlaaf 告诉《连线》杂志:“这些 GPU 的安全性不够高,并且泄露了大量数据,这引发了更广泛的安全担忧。” “我们正在考虑从 5 兆字节到 180 兆字节的任何地方。在 CPU 世界中,即使是一点点也难以透露。”
为了利用研究人员称之为LeftoverLocals 的漏洞,攻击者需要已经在目标设备上建立了一定数量的操作系统访问权限。现代计算机和服务器专门设计用于存储数据,因此多个用户可以共享相同的处理资源,而无法访问彼此的数据。但 LeftoverLocals 的攻击打破了这些围墙。利用该漏洞,黑客可以从易受攻击的 GPU 的本地内存中窃取他们不应该访问的数据,从而暴露出恰好存在的任何数据,其中可能包括 LLM 生成的查询和响应以及驱动响应的权重。
在他们的概念验证中,如下面的 GIF 所示,研究人员演示了一种攻击,其中目标(如左侧所示)要求开源 LLM Llama.cpp 提供有关《连线》杂志的详细信息。在几秒钟内,攻击者的设备(如右侧所示)通过对易受攻击的 GPU 内存执行 LeftoverLocals 攻击,收集了 LLM 提供的大部分响应。研究人员创建的攻击程序使用了不到 10 行代码。
去年夏天,研究人员测试了来自 7 家 GPU 制造商的 11 款芯片以及多个相应的编程框架。他们在 Apple、AMD 和 Qualcomm 的 GPU 中发现了 LeftoverLocals 漏洞,并于 9 月份与US-CERT 协调中心和专注于 3D 图形的标准机构 Khronos Group 合作,对该漏洞进行了影响深远的协调披露。机器学习、虚拟现实和增强现实。
研究人员没有发现 Nvidia、Intel 或 Arm GPU 包含 LeftoverLocals 漏洞的证据,但 Apple、Qualcomm 和 AMD 均向 WIRED 证实它们受到了影响。这意味着 AMD Radeon RX 7900 XT 等知名芯片以及苹果 iPhone 12 Pro 和 M2 MacBook Air 等设备都容易受到攻击。研究人员在他们测试的 Imagination GPU 中没有发现该缺陷,但其他 GPU 可能容易受到攻击。
苹果发言人承认了 LeftoverLocals 的存在,并指出该公司已在 2023 年底推出的最新M3和 A17 处理器上发布了修复程序。这意味着该漏洞似乎仍然存在于数以百万计的现有 iPhone、iPad 和 MacBook 中。在前几代苹果芯片上。 1 月 10 日,Trail of Bits 研究人员在多款 Apple 设备上重新测试了该漏洞。他们发现苹果的 M2 MacBook Air 仍然存在漏洞,但 iPad Air 第三代 A12 似乎已经打了补丁。
高通发言人告诉《连线》杂志,该公司“正在”向客户提供安全更新,并补充道,“我们鼓励最终用户在设备制造商提供安全更新时应用这些更新。” Trail of Bits 研究人员表示,高通确认已针对该漏洞发布了固件补丁。
AMD 周三发布了一份安全公告,详细介绍了为 LeftoverLocals 提供修复的计划。这些保护措施将是三月份发布的“可选缓解措施”。
谷歌在一份声明中表示,它“意识到这个漏洞影响 AMD、苹果和高通 GPU。谷歌已针对受影响的 AMD 和高通 GPU 的 ChromeOS 设备发布了修复程序。”
Trail of Bits 的研究人员警告说,真正让这些不同的修复方案激增并不容易。即使 GPU 制造商发布了可用的补丁,将其芯片集成到个人电脑和其他设备中的设备制造商也必须将保护措施打包并转发给最终用户。全球科技生态系统参与者众多,协调各方非常困难。
尽管利用该漏洞需要对目标设备进行一定程度的现有访问,但考虑到积极主动的攻击者通常通过将多个漏洞链接在一起来进行黑客攻击,因此潜在的影响是重大的。此外,对于许多常见类型的数字攻击来说,建立对设备的“初始访问”已经是必要的。
Trail of Bits 的安全研究工程师泰勒·索伦森 (Tyler Sorensen) 表示:“如果你设法进入同一个系统,你就可以监听某人以及 LLM 聊天会话的响应,这是一件简单的事情。”该漏洞是加州大学圣克鲁斯分校的安全工程研究员。
研究人员指出,其他应用程序中机器学习过程的泄漏可能非常敏感,例如,如果移动医疗健康应用程序纳入了人工智能患者支持。但 GPU 可以处理任意数量的事物,而内存中的数据隐私是必须从一开始就内置到芯片中的基本元素。自Spectre 和 Meltdown CPU 处理器漏洞披露以来的六年里,芯片制造商投入了大量精力来加强和完善内存保护,不仅通过现有芯片的固件补丁,还对 CPU 的设计方式进行物理改进。这些硬件变化需要数年时间才能实施,因为制造管道是提前规划的。
“如果用户与恶意软件在同一台本地计算机上运行,那么在运行过程中用于临时存储数据的 GPU 程序暂存存储器的最终内容可能会被不良行为者看到,”AMD 在谈到该跟踪时说道。位研究。该公司表示,“AMD 还相信系统的任何其他部分不会受到影响,用户数据也不会受到损害。”
但在实践中,多年的处理器内存漏洞已经说明了潜在的风险以及解决此类缺陷的重要性。 Trail of Bits 的 Khlaaf 表示:“我们已经看到这些漏洞已经被修补,这些漏洞泄露了网络浏览器数据等非常敏感的信息。”他指的是过去与内存相关的芯片泄漏示例。
近几个月来,有关 GPU 不安全的其他调查结果强调了这些日益流行和重要的处理器中信息泄露的潜在威胁。随着生成式人工智能在过去 18 个月的蓬勃发展,各公司竞相购买速度更快、功能更强大的 GPU,在某些情况下还自行构建 GPU。 Trail of Bits 研究人员表示,LeftoverLocals 漏洞凸显出,开发和运行机器学习所需的许多组件总体上存在“未知的安全风险”,并且“尚未经过安全专家的严格审查”。
研究人员表示,LeftoverLocals 是一项重要运动的一部分,旨在提高人们对 GPU 安全改进的必要性的认识,类似于为 CPU 实施的安全改进。随着苹果等越来越多的供应商将 CPU 和 GPU 结合在一起,以在“片上系统”或 SoC 方案中实现最大效率,这一点尤其紧迫。
“GPU 可以访问全部内存,但正如我们所见,它可能非常不安全,”Trail of Bits 的 Sorensen 说。 “您无需将其分离出来,只需将其放入 SoC 的最深处即可。因此,我们需要认真考虑 GPU 安全性,尤其是在 GPU 现在也可能访问 CPU 内存的情况下。”
研究人员还警告说,随着 GPU 虚拟化在公共云基础设施中变得更加普遍,以及更多人工智能应用程序从本地实现转向在共享云环境中运行,GPU 内存安全问题和 LeftoverLocals 等漏洞将变得更加严重。如果不对 GPU 内存隐私进行重大改革,这些转变可能会为攻击者在一次攻击中轻松从众多目标获取大量数据创造沃土。
“我认为我们在正确的时间遇到了这个问题,”索伦森说。 “许多主要的云提供商不允许多个用户使用同一台 GPU 机器,但这很可能会在未来发生变化。所以我认为我们只需要对此保持高度警惕,并为 GPU 及其部署方式提供更多的安全模型。这应该会激励人们说,‘我们这样做时需要小心。’”
