隨著越來越多的公司加大人工智能系統的開發力度,他們越來越多地轉向圖形處理單元 (GPU) 芯片,以獲得運行大型語言模型(LLM) 和快速大規模處理數據所需的計算能力。在視頻遊戲處理和人工智能領域,對 GPU 的需求從未如此之高,芯片製造商正忙於增加供應。不過,在今天發佈的新發現中,研究人員強調了多個品牌和型號的主流 GPU(包括蘋果、高通和 AMD 芯片)中存在的漏洞,該漏洞可能允許攻擊者從 GPU 內存中竊取大量數據。
硅行業花費了數年時間來完善中央處理單元(CPU)的安全性,因此即使它們是為了優化速度而構建的,也不會洩漏內存中的數據。然而,由於 GPU 是為原始圖形處理能力而設計的,因此它們的架構並未達到與數據隱私同等程度的優先考慮。不過,隨著生成式人工智能和其他機器學習應用擴大了這些芯片的用途,紐約安全公司Trail of Bits的研究人員表示,GPU 中的漏洞正成為一個日益緊迫的問題。
Trail of Bits 的 AI 和機器學習保證工程總監 Heidy Khlaaf 告訴《連線》雜誌:“這些 GPU 的安全性不夠高,並且洩露了大量數據,這引發了更廣泛的安全擔憂。” “我們正在考慮從 5 兆字節到 180 兆字節的任何地方。在 CPU 世界中,即使是一點點也難以透露。”
為了利用研究人員稱之為LeftoverLocals 的漏洞,攻擊者需要已經在目標設備上建立了一定數量的操作系統訪問權限。現代計算機和服務器專門設計用於存儲數據,因此多個用戶可以共享相同的處理資源,而無法訪問彼此的數據。但 LeftoverLocals 的攻擊打破了這些圍牆。利用該漏洞,黑客可以從易受攻擊的 GPU 的本地內存中竊取他們不應該訪問的數據,從而暴露出恰好存在的任何數據,其中可能包括 LLM 生成的查詢和響應以及驅動響應的權重。
在他們的概念驗證中,如下面的 GIF 所示,研究人員演示了一種攻擊,其中目標(如左側所示)要求開源 LLM Llama.cpp 提供有關《連線》雜誌的詳細信息。在幾秒鐘內,攻擊者的設備(如右側所示)通過對易受攻擊的 GPU 內存執行 LeftoverLocals 攻擊,收集了 LLM 提供的大部分響應。研究人員創建的攻擊程序使用了不到 10 行代碼。
去年夏天,研究人員測試了來自 7 家 GPU 製造商的 11 款芯片以及多個相應的編程框架。他們在 Apple、AMD 和 Qualcomm 的 GPU 中發現了 LeftoverLocals 漏洞,並於 9 月份與US-CERT 協調中心和專注於 3D 圖形的標準機構 Khronos Group 合作,對該漏洞進行了影響深遠的協調披露。機器學習、虛擬現實和增強現實。
研究人員沒有發現 Nvidia、Intel 或 Arm GPU 包含 LeftoverLocals 漏洞的證據,但 Apple、Qualcomm 和 AMD 均向 WIRED 證實它們受到了影響。這意味著 AMD Radeon RX 7900 XT 等知名芯片以及蘋果 iPhone 12 Pro 和 M2 MacBook Air 等設備都容易受到攻擊。研究人員在他們測試的 Imagination GPU 中沒有發現該缺陷,但其他 GPU 可能容易受到攻擊。
蘋果發言人承認了 LeftoverLocals 的存在,並指出該公司已在 2023 年底推出的最新M3和 A17 處理器上發佈了修復程序。這意味著該漏洞似乎仍然存在於數以百萬計的現有 iPhone、iPad 和 MacBook 中。在前幾代蘋果芯片上。 1 月 10 日,Trail of Bits 研究人員在多款 Apple 設備上重新測試了該漏洞。他們發現蘋果的 M2 MacBook Air 仍然存在漏洞,但 iPad Air 第三代 A12 似乎已經打了補丁。
高通發言人告訴《連線》雜誌,該公司“正在”向客戶提供安全更新,並補充道,“我們鼓勵最終用戶在設備製造商提供安全更新時應用這些更新。” Trail of Bits 研究人員表示,高通確認已針對該漏洞發佈了固件補丁。
AMD 週三發佈了一份安全公告,詳細介紹了為 LeftoverLocals 提供修復的計劃。這些保護措施將是三月份發佈的“可選緩解措施”。
谷歌在一份聲明中表示,它“意識到這個漏洞影響 AMD、蘋果和高通 GPU。谷歌已針對受影響的 AMD 和高通 GPU 的 ChromeOS 設備發佈了修復程序。”
Trail of Bits 的研究人員警告說,真正讓這些不同的修復方案激增並不容易。即使 GPU 製造商發佈了可用的補丁,將其芯片集成到個人電腦和其他設備中的設備製造商也必須將保護措施打包並轉發給最終用戶。全球科技生態系統參與者眾多,協調各方非常困難。
儘管利用該漏洞需要對目標設備進行一定程度的現有訪問,但考慮到積極主動的攻擊者通常通過將多個漏洞鏈接在一起來進行黑客攻擊,因此潛在的影響是重大的。此外,對於許多常見類型的數字攻擊來說,建立對設備的“初始訪問”已經是必要的。
Trail of Bits 的安全研究工程師泰勒·索倫森 (Tyler Sorensen) 表示:“如果你設法進入同一個系統,你就可以監聽某人以及 LLM 聊天會話的響應,這是一件簡單的事情。”該漏洞是加州大學聖克魯斯分校的安全工程研究員。
研究人員指出,其他應用程序中機器學習過程的洩漏可能非常敏感,例如,如果移動醫療健康應用程序納入了人工智能患者支持。但 GPU 可以處理任意數量的事物,而內存中的數據隱私是必須從一開始就內置到芯片中的基本元素。自Spectre 和 Meltdown CPU 處理器漏洞披露以來的六年裡,芯片製造商投入了大量精力來加強和完善內存保護,不僅通過現有芯片的固件補丁,還對 CPU 的設計方式進行物理改進。這些硬件變化需要數年時間才能實施,因為製造管道是提前規劃的。
“如果用戶與惡意軟件在同一臺本地計算機上運行,那麼在運行過程中用於臨時存儲數據的 GPU 程序暫存存儲器的最終內容可能會被不良行為者看到,”AMD 在談到該跟蹤時說道。位研究。該公司表示,“AMD 還相信系統的任何其他部分不會受到影響,用戶數據也不會受到損害。”
但在實踐中,多年的處理器內存漏洞已經說明了潛在的風險以及解決此類缺陷的重要性。 Trail of Bits 的 Khlaaf 表示:“我們已經看到這些漏洞已經被修補,這些漏洞洩露了網絡瀏覽器數據等非常敏感的信息。”他指的是過去與內存相關的芯片洩漏示例。
近幾個月來,有關 GPU 不安全的其他調查結果強調了這些日益流行和重要的處理器中信息洩露的潛在威脅。隨著生成式人工智能在過去 18 個月的蓬勃發展,各公司競相購買速度更快、功能更強大的 GPU,在某些情況下還自行構建 GPU。 Trail of Bits 研究人員表示,LeftoverLocals 漏洞凸顯出,開發和運行機器學習所需的許多組件總體上存在“未知的安全風險”,並且“尚未經過安全專家的嚴格審查”。
研究人員表示,LeftoverLocals 是一項重要運動的一部分,旨在提高人們對 GPU 安全改進的必要性的認識,類似於為 CPU 實施的安全改進。隨著蘋果等越來越多的供應商將 CPU 和 GPU 結合在一起,以在“片上系統”或 SoC 方案中實現最大效率,這一點尤其緊迫。
“GPU 可以訪問全部內存,但正如我們所見,它可能非常不安全,”Trail of Bits 的 Sorensen 說。 “您無需將其分離出來,只需將其放入 SoC 的最深處即可。因此,我們需要認真考慮 GPU 安全性,尤其是在 GPU 現在也可能訪問 CPU 內存的情況下。”
研究人員還警告說,隨著 GPU 虛擬化在公共雲基礎設施中變得更加普遍,以及更多人工智能應用程序從本地實現轉向在共享雲環境中運行,GPU 內存安全問題和 LeftoverLocals 等漏洞將變得更加嚴重。如果不對 GPU 內存隱私進行重大改革,這些轉變可能會為攻擊者在一次攻擊中輕鬆從眾多目標獲取大量數據創造沃土。
“我認為我們在正確的時間遇到了這個問題,”索倫森說。 “許多主要的雲提供商不允許多個用戶使用同一臺 GPU 機器,但這很可能會在未來發生變化。所以我認為我們只需要對此保持高度警惕,併為 GPU 及其部署方式提供更多的安全模型。這應該會激勵人們說,‘我們這樣做時需要小心。’”
