Группа исследователей из Университета Торонто обнаружила способ использовать давно известную уязвимость оперативной памяти RowHammer применительно к видеокартам NVIDIA с памятью GDDR6. Результатом стала серия атак, самая опасная из которых — GPUBreach — позволяет через переключение битов в графической памяти добраться до ядра операционной системы и получить привилегии суперпользователя. Для видеокарт в ноутбуках и настольных ПК защиты от этой атаки пока не существует.
RowHammer — это аппаратная проблема динамической памяти (DRAM), известная уже больше десяти лет. Суть её проста: если многократно обращаться к одной и той же строке памяти, электрические наводки могут «перевернуть» биты в соседних строках, превращая нули в единицы и наоборот. Раньше считалось, что архитектура GPU делает их невосприимчивыми к подобным трюкам. Исследователи из Торонто доказали обратное.
Первой ласточкой стала работа GPUHammer, опубликованная в июле 2025 года. Это первая практическая атака RowHammer, нацеленная на видеокарты NVIDIA с памятью GDDR6. Исследователи применили многопоточную параллельную «бомбардировку» строк памяти, обойдя архитектурные особенности графических процессоров, которые прежде считались надёжной защитой. Главное последствие GPUHammer — деградация точности моделей машинного обучения, достигающая 80%.
GPUBreach пошёл значительно дальше. Атака основана на том же механизме переключения битов в GDDR6, но направлена на повреждение таблиц страниц GPU. Повредив эти таблицы, непривилегированный процесс получает возможность произвольного чтения и записи всей видеопамяти. Отсюда уже открывается путь к утечке секретных криптографических ключей из библиотеки NVIDIA cuPQC, к порче моделей машинного обучения, а главное — к запуску корневой оболочки (root shell) на хост-системе.
Особая изюминка GPUBreach в том, как обходится IOMMU — аппаратный блок, который обычно изолирует периферийные устройства и предотвращает атаки через прямой доступ к памяти (DMA). Атака не требует отключения IOMMU. Вместо этого она использует так называемые aperture-биты в записях таблицы страниц, чтобы обращаться через DMA к области CPU-памяти, которую IOMMU и так разрешает — а именно к буферам драйвера GPU. Подмена доверенного состояния этих буферов провоцирует ошибки безопасности памяти уже в ядерном драйвере NVIDIA, что даёт атакующему примитив произвольной записи в память ядра.
Гурурадж Саилешвар, доцент Университета Торонто и один из авторов исследования, подтвердил результаты в публикации на LinkedIn. Зона риска — облачная ИИ-инфраструктура, многопользовательские GPU-кластеры и среды высокопроизводительных вычислений (HPC). Везде, где несколько пользователей делят одну видеокарту, GPUBreach представляет реальную угрозу.
Параллельно с GPUBreach независимо развивались ещё два направления. GDDRHammer работает по схожему принципу: повреждает записи таблицы страниц GPU на уровне последней таблицы страниц (PT), изменяет поле aperture и позволяет непривилегированному ядру CUDA читать и записывать всю память хост-процессора. GeForge преследует ту же цель — перехват трансляции адресов через таблицы страниц, но целится в последний уровень каталога страниц (PD0). Существенное ограничение GeForge: атака работает только при отключённом IOMMU, что делает её менее практичной по сравнению с GPUBreach.
Стандартные аппаратные средства защиты памяти — коды коррекции ошибок (ECC) и механизм Target Row Refresh (TRR) — здесь помогают плохо. Предыдущие исследования, такие как ECCploit и , уже продемонстрировали обход ECC-защиты. Если атака вызывает больше двух переключений битов, ECC не может их исправить, и повреждение данных происходит «молча», без каких-либо уведомлений. Такое уже было показано на системах с DDR4 и DDR5.
Единственная временная мера, которую предлагают исследователи для GPU, — включение ECC на видеокарте. Но тут возникает проблема. Настольные и мобильные видеокарты (те, что стоят в обычных компьютерах и ноутбуках) попросту не поддерживают ECC. Для них на данный момент нет вообще никаких известных способов защиты от GPUBreach.
Обнаруженная цепочка уязвимостей меняет представление о границах безопасности между GPU и CPU. Прежде видеокарта рассматривалась как относительно изолированный компонент, и RowHammer считался проблемой исключительно центральной оперативной памяти. GPUBreach показывает, что графическая память может стать отправной точкой для полной компрометации хост-системы — от рядового пользовательского процесса до корня.
Изображение носит иллюстративный характер
RowHammer — это аппаратная проблема динамической памяти (DRAM), известная уже больше десяти лет. Суть её проста: если многократно обращаться к одной и той же строке памяти, электрические наводки могут «перевернуть» биты в соседних строках, превращая нули в единицы и наоборот. Раньше считалось, что архитектура GPU делает их невосприимчивыми к подобным трюкам. Исследователи из Торонто доказали обратное.
Первой ласточкой стала работа GPUHammer, опубликованная в июле 2025 года. Это первая практическая атака RowHammer, нацеленная на видеокарты NVIDIA с памятью GDDR6. Исследователи применили многопоточную параллельную «бомбардировку» строк памяти, обойдя архитектурные особенности графических процессоров, которые прежде считались надёжной защитой. Главное последствие GPUHammer — деградация точности моделей машинного обучения, достигающая 80%.
GPUBreach пошёл значительно дальше. Атака основана на том же механизме переключения битов в GDDR6, но направлена на повреждение таблиц страниц GPU. Повредив эти таблицы, непривилегированный процесс получает возможность произвольного чтения и записи всей видеопамяти. Отсюда уже открывается путь к утечке секретных криптографических ключей из библиотеки NVIDIA cuPQC, к порче моделей машинного обучения, а главное — к запуску корневой оболочки (root shell) на хост-системе.
Особая изюминка GPUBreach в том, как обходится IOMMU — аппаратный блок, который обычно изолирует периферийные устройства и предотвращает атаки через прямой доступ к памяти (DMA). Атака не требует отключения IOMMU. Вместо этого она использует так называемые aperture-биты в записях таблицы страниц, чтобы обращаться через DMA к области CPU-памяти, которую IOMMU и так разрешает — а именно к буферам драйвера GPU. Подмена доверенного состояния этих буферов провоцирует ошибки безопасности памяти уже в ядерном драйвере NVIDIA, что даёт атакующему примитив произвольной записи в память ядра.
Гурурадж Саилешвар, доцент Университета Торонто и один из авторов исследования, подтвердил результаты в публикации на LinkedIn. Зона риска — облачная ИИ-инфраструктура, многопользовательские GPU-кластеры и среды высокопроизводительных вычислений (HPC). Везде, где несколько пользователей делят одну видеокарту, GPUBreach представляет реальную угрозу.
Параллельно с GPUBreach независимо развивались ещё два направления. GDDRHammer работает по схожему принципу: повреждает записи таблицы страниц GPU на уровне последней таблицы страниц (PT), изменяет поле aperture и позволяет непривилегированному ядру CUDA читать и записывать всю память хост-процессора. GeForge преследует ту же цель — перехват трансляции адресов через таблицы страниц, но целится в последний уровень каталога страниц (PD0). Существенное ограничение GeForge: атака работает только при отключённом IOMMU, что делает её менее практичной по сравнению с GPUBreach.
Стандартные аппаратные средства защиты памяти — коды коррекции ошибок (ECC) и механизм Target Row Refresh (TRR) — здесь помогают плохо. Предыдущие исследования, такие как ECCploit и , уже продемонстрировали обход ECC-защиты. Если атака вызывает больше двух переключений битов, ECC не может их исправить, и повреждение данных происходит «молча», без каких-либо уведомлений. Такое уже было показано на системах с DDR4 и DDR5.
Единственная временная мера, которую предлагают исследователи для GPU, — включение ECC на видеокарте. Но тут возникает проблема. Настольные и мобильные видеокарты (те, что стоят в обычных компьютерах и ноутбуках) попросту не поддерживают ECC. Для них на данный момент нет вообще никаких известных способов защиты от GPUBreach.
Обнаруженная цепочка уязвимостей меняет представление о границах безопасности между GPU и CPU. Прежде видеокарта рассматривалась как относительно изолированный компонент, и RowHammer считался проблемой исключительно центральной оперативной памяти. GPUBreach показывает, что графическая память может стать отправной точкой для полной компрометации хост-системы — от рядового пользовательского процесса до корня.
