黑客發(fā)現(xiàn)發(fā)現(xiàn)了名為GPUHammer的漏洞——一種Rowhammer(行錘攻擊)漏洞,可將英偉達顯卡上AI模型的準確率降至接近零��!
英偉達 AI “利器” 暗藏噩夢級漏洞
白帽黑客在英偉達 GPU 中發(fā)現(xiàn)了一個令人膽寒的漏洞�����,它可能給 AI 系統(tǒng)帶來災(zāi)難性后果��。這個被命名為 GPUHammer 的攻擊可將模型準確率從穩(wěn)定的 80% 驟降至僅 0.02%,使其基本失去效用�����。多倫多大學(xué)的研究人員將其比作 “給神經(jīng)網(wǎng)絡(luò)造成毀滅性腦損傷”��。目前��,該漏洞已在 RTX A6000 顯卡上測試驗證,但其他型號也可能面臨風險�����。英偉達的建議是�����?開啟一項防御功能 —— 但這可能導(dǎo)致系統(tǒng)性能下降至多 10%。讓我們來剖析這場硬件噩夢�����。
這不是軟件漏洞�����,而是物理層面的攻擊
別再想著那些隱蔽的代碼注入了:GPUHammer 是首個成功針對 GPU 內(nèi)存的行錘(Rowhammer)攻擊�����。行錘原理是通過反復(fù) “錘擊” 某一行內(nèi)存,導(dǎo)致相鄰行的比特位發(fā)生翻轉(zhuǎn)(0 變 1 或 1 變 0)�����,從而悄無聲息地破壞數(shù)據(jù)��。多年來���,這種手段一直困擾著 CPU 內(nèi)存��,而如今 GPU 也成了攻擊目標。在實驗中��,研究團隊翻轉(zhuǎn)了深度學(xué)習(xí)模型權(quán)重中的關(guān)鍵比特 —— 例如在 FP16 浮點數(shù)中���,一次微調(diào)就可能讓指數(shù)部分驟增 16 倍���,直接導(dǎo)致性能崩盤��。
他們在 AlexNet��、VGG、ResNet 等經(jīng)典模型上測試了該攻擊,結(jié)果顯示:哪怕只是單個比特翻轉(zhuǎn),都可能引發(fā)系統(tǒng)徹底崩潰,將準確率從 80% 砍至 0.1%�����。試想一下��,自動駕駛汽車誤讀停車標志��、醫(yī)療 AI 誤診病情 —— 這些場景都可能成為現(xiàn)實。在共享云環(huán)境或虛擬桌面中,惡意用戶可能通過 “錘擊” 干擾他人的工作負載�����,破壞推理過程或緩存參數(shù)��。這對我們?nèi)找嬉蕾嚨?AI 基礎(chǔ)設(shè)施而言��,無疑是沉重一擊。
英偉達的解決方案:ECC 糾錯登場���,但代價不小
英偉達并未對該漏洞坐視不理,其已發(fā)布安全公告�����,敦促用戶在支持的 GPU 上啟用錯誤校正碼(ECC)���。ECC 通過為數(shù)據(jù)附加額外的校驗位���,可自動檢測并修復(fù)單比特翻轉(zhuǎn)���;但對于雙比特翻轉(zhuǎn)���,它只能發(fā)出警告而無法修復(fù)���。問題在于:系統(tǒng)出廠時往往默認關(guān)閉 ECC��,因為它會額外占用 6.5% 的內(nèi)存并降低性能。以 A6000 為例��,啟用 ECC 后帶寬將下降 12%��,機器學(xué)習(xí)任務(wù)的速度會減慢 3%-10%�����。這是一場權(quán)衡:安全與速度,只能二選一。
游戲玩家可松口氣��,你的游戲體驗不受影響
擔心下一局《堡壘之夜》會受影響��?放輕松��,研究人員表示并非所有 GPU 都同等脆弱。配置與設(shè)計的差異會產(chǎn)生顯著影響�����。例如��,RTX 3080 和 A100 采用的 DRAM 架構(gòu)可完全規(guī)避行錘攻擊���,這與 A6000 的 GDDR 架構(gòu)不同���。展望未來��,搭載片上 ECC 的新一代 GPU 可能默認具備單比特自動糾錯和雙比特檢測功能,這將大幅提升此類攻擊的實施難度��。
在云端�����,英偉達的多實例 GPU(MIG)和機密計算技術(shù)通過隔離內(nèi)存,可阻斷多租戶環(huán)境下的漏洞利用��。但隨著 AI 能力不斷增強�����,隱蔽的側(cè)信道威脅也會隨之進化��。GPUHammer 只是模型安全漫長攻防戰(zhàn)的序幕�����。
