Исследователи из Университета Торонто (Крис (Шаопенг) Лин, Джойс Ку и Гурурадж Сайлешвар) выявили критическую уязвимость GPUHammer. Это вариант атаки RowHammer, нацеленный на графические процессоры NVIDIA, включая модель A6000 с памятью GDDR6. GPUHammer вызывает битовые перевороты в памяти, обходя встроенные механизмы защиты, такие как Target Refresh Rate (TRR).
Основная демонстрируемая опасность — катастрофическое снижение точности моделей искусственного интеллекта. В ходе доказательства концепции атака на модель Deep Neural Network (DNN), обрабатывающую ImageNet, снизила её точность с 80% до 0.1%. Это не просто сбой памяти; GPUHammer ставит под угрозу целостность моделей ИИ, критически важных для параллельной обработки данных.
Атака создает новый вектор угрозы в облачных средах, таких как облачный машинное обучение (Cloud ML) и виртуальные рабочие столы (VDI). Злонамеренный пользователь в общей инфраструктуре может повлиять на соседние вычислительные задачи, искажая результаты вывода модели или повреждая кэшированные параметры модели, создавая кросс-тенантный риск. GPUHammer работает ниже уровня модели, изменяя её внутренние веса, что связывает его с атаками на машинное обучение.
Последствия выходят за рамки облаков. Уязвимыми становятся развертывания ИИ на периферийных устройствах (Edge AI), автономные системы и системы обнаружения мошенничества. Особую тревогу вызывает риск тихой коррупции данных — незаметной порчи, которую сложно обнаружить и исправить. Такие скрытые сбои ИИ могут привести к нарушению требований ISO/IEC 27001 или Закона ЕС об искусственном интеллекте, особенно в чувствительных секторах, таких как здравоохранение и финансы.
Уязвимость GPUHammer коренится в физическом поведении памяти DRAM (электрические помехи от частого доступа к соседним строкам). Графические процессоры особенно подвержены таким атакам из-за отсутствия проверок четности и средств контроля доступа на уровне команд, характерных для CPU. Это делает их память открытой для низкоуровневого внедрения сбоев.
Ключевая мера защиты от NVIDIA — активация системных кодов коррекции ошибок (ECC). Включить ECC можно командой
Параллельно исследователи из NTT Social Informatics Laboratories и CentraleSupelec представили атаку CrowHammer. Эта RowHammer-атака нацелена на схему постквантовой подписи FALCON (FIPS 206), выбранную NIST для стандартизации. CrowHammer фокусируется на таблице RCDT (Reverse Cumulative Distribution Table) алгоритма Falcon. Всего один целенаправленный битовый переворот позволяет восстановить ключ подписи, используя несколько сотен миллионов подписей. Большее число переворотов требует меньше подписей.
Организациям, использующим ресурсоемкие GPU для ИИ, необходимо включить целостность памяти графических процессоров в свои программы безопасности и аудита.
Изображение носит иллюстративный характер
Основная демонстрируемая опасность — катастрофическое снижение точности моделей искусственного интеллекта. В ходе доказательства концепции атака на модель Deep Neural Network (DNN), обрабатывающую ImageNet, снизила её точность с 80% до 0.1%. Это не просто сбой памяти; GPUHammer ставит под угрозу целостность моделей ИИ, критически важных для параллельной обработки данных.
Атака создает новый вектор угрозы в облачных средах, таких как облачный машинное обучение (Cloud ML) и виртуальные рабочие столы (VDI). Злонамеренный пользователь в общей инфраструктуре может повлиять на соседние вычислительные задачи, искажая результаты вывода модели или повреждая кэшированные параметры модели, создавая кросс-тенантный риск. GPUHammer работает ниже уровня модели, изменяя её внутренние веса, что связывает его с атаками на машинное обучение.
Последствия выходят за рамки облаков. Уязвимыми становятся развертывания ИИ на периферийных устройствах (Edge AI), автономные системы и системы обнаружения мошенничества. Особую тревогу вызывает риск тихой коррупции данных — незаметной порчи, которую сложно обнаружить и исправить. Такие скрытые сбои ИИ могут привести к нарушению требований ISO/IEC 27001 или Закона ЕС об искусственном интеллекте, особенно в чувствительных секторах, таких как здравоохранение и финансы.
Уязвимость GPUHammer коренится в физическом поведении памяти DRAM (электрические помехи от частого доступа к соседним строкам). Графические процессоры особенно подвержены таким атакам из-за отсутствия проверок четности и средств контроля доступа на уровне команд, характерных для CPU. Это делает их память открытой для низкоуровневого внедрения сбоев.
Ключевая мера защиты от NVIDIA — активация системных кодов коррекции ошибок (ECC). Включить ECC можно командой
nvidia-smi -e 1, а проверить статус — nvidia-smi -q | grep ECC. Для GPU A6000 это влечет снижение производительности до 10% в задачах машинного обучения и уменьшение доступной памяти на 6.25%. ECC можно выборочно применять на тренировочных узлах или для критически важных задач. Мониторинг логов (/var/log/syslog или dmesg) на предмет исправлений ECC помогает выявить попытки битовых переворотов. Новые GPU NVIDIA, такие как H100 или RTX 5090, оснащены встроенной на кристалле ECC, защищающей от ошибок, вызванных колебаниями напряжения. Параллельно исследователи из NTT Social Informatics Laboratories и CentraleSupelec представили атаку CrowHammer. Эта RowHammer-атака нацелена на схему постквантовой подписи FALCON (FIPS 206), выбранную NIST для стандартизации. CrowHammer фокусируется на таблице RCDT (Reverse Cumulative Distribution Table) алгоритма Falcon. Всего один целенаправленный битовый переворот позволяет восстановить ключ подписи, используя несколько сотен миллионов подписей. Большее число переворотов требует меньше подписей.
Организациям, использующим ресурсоемкие GPU для ИИ, необходимо включить целостность памяти графических процессоров в свои программы безопасности и аудита.
