Исследователи из канадского Университета Торонто

Но на видеокартах данный тип атак ранее не исследовался. Канадские ученые исправили этот недочет и показали атаку с очевидным названием GPUHammer. Так как речь идет о физической особенности микросхем памяти, предсказать теоретическую возможность атаки класса Rowhammer на видеокартах нетрудно. Продемонстрировать атаку в реальности гораздо сложнее. Здесь играют роль как естественные ограничения, например высокая частота работы оперативной памяти стандарта GDDR6, так и особенности работы видеокарт. В частности, задержка при обращении к видеопамяти гораздо больше, чем при обращении к обычной оперативной памяти. Таким образом, нельзя реализовать традиционный метод атаки, когда обращения к памяти производятся последовательно.
Вместо этого исследователи задействовали технологию SIMT, запуская инструкции параллельно. В результате в наиболее успешном варианте атаки удалось добиться изменения значения в восьми разных ячейках памяти, причем во всех четырех банках памяти графического ускорителя NVIDIA RTX A6000. Была показана и практическая цель подобной атаки, а именно катастрофическое снижение качества работы алгоритма машинного обучения. Исследователи испытали пять разных языковых моделей и во всех случаях добились снижения доли правильных ответов с номинальных 50–80% до менее чем 1% в результате направленного повреждения данных в памяти видеокарты.
Таким образом, наибольшему риску данной атаки подвергаются те, кто работает с языковыми моделями в условиях, когда ресурсы видеокарт разделены между несколькими пользователями. Можно представить атаку, при которой злоумышленник намеренно ухудшает работу чужой ИИ-системы практически «до нуля». Впрочем, как и в случае иных атак типа Rowhammer, для реализации даже такого достаточно сложного сценария должны быть выполнены и многие другие требования.
Во-первых, атака сработала только на ускорителе с оперативной памятью GDDR6, причем только на модели A6000. На ускорителе RTX3080 с видеопамятью такого же типа атака не заработала — и авторы работы даже не знают почему. Широкомасштабное тестирование усложняется тем, что обычные модули RAM можно тестировать «оптом», просто заменяя модули памяти на материнской плате. Видеопамять так просто не поменяешь, необходимо добыть для исследования множество дорогостоящих ускорителей, и каждый из них будет иметь свои особенности.
Во-вторых, атака не работает на более современных ускорителях Nvidia H100 (память типа HBM) и RTX5090 (GDDR7). В обоих случаях реализована аппаратная коррекция ошибок, которая «корректирует» единичные случаи повреждения данных в одной ячейке. Собственно, те, кто эксплуатирует ускорители A6000, также могут включить ECC и таким образом сделать атаку GPUHammer в ее нынешнем виде невозможной. Правда, это приведет к падению производительности примерно на 10%.
Что еще произошло
Исследователи «Лаборатории Касперского»
Публикация команды Koi Security
Разработчик популярного плагина Gravity Forms для WordPress был предположительно
Новые варианты Spectre-подобных микроархитектурных атак
Исследователи Palo Alto Networks подробно
Специалисты из команды PCA Cyber Security
Исследователь Иэн Кэррол