Błąd projektowy w sterownikach GPU stworzonych przez Apple, Qualcomm, AMD i potencjalnie Imagination może zostać wykorzystany przez złoczyńców we współdzielonym systemie do hakowania innych użytkowników.
Oznacza to, że roboty indeksujące mogą na przykład monitorować duże modele językowe i inne programy uczenia maszynowego przyspieszane przez procesory innych użytkowników. Będzie to stanowić problem dla tych, którzy szkolą lub prowadzą LLM na współdzielonym serwerze w chmurze. W niewspółdzielonym systemie złośliwe oprogramowanie działające na urządzeniu może wykorzystać lukę w celu szpiegowania aktywności procesora graficznego pojedynczego użytkownika.
Co ważniejsze, układy graficzne i ich sterowniki mają zapobiegać tego typu monitorowaniu, całkowicie izolując od siebie pamięć i inne zasoby wykorzystywane przez każdy proces użytkownika, ale w rzeczywistości wiele z nich tego nie robi. Wdrażaj go bezpiecznie Ta funkcja jest wystarczająca, umożliwiając kradzież danych.
Podatność, śledzenie CVE-2023-4969 Został odkryty przez Tylera Sorensena, inżyniera ds. badań nad bezpieczeństwem w zespole AI and ML Assurance oraz adiunkta na Uniwersytecie Kalifornijskim w Santa Cruz i nosi nazwę LeftoverLocals.
Opublikowane we wtorek badanie wyjaśniło, w jaki sposób przestępcy mogą wykorzystać lukę w celu odczytania danych, do których nie powinni byli trafiać z lokalnej pamięci procesora graficznego systemu. Poza tym opublikowali Dowód koncepcji Kod pozwalający włamać się do chatbota LLM i nawiązać rozmowę z innym użytkownikiem na współdzielonym urządzeniu z akceleracją GPU.
Aby wykorzystać nadzór bezpieczeństwa, osoba atakująca musi jedynie uzyskać wystarczający dostęp do współdzielonego procesora graficznego, aby uruchomić na nim kod aplikacji. Kod ten, pomimo zastosowanych zabezpieczeń izolacyjnych, może w podatnej konfiguracji eksplorować pamięć lokalną w poszukiwaniu obszarów, których inne programy używały jako pamięci podręczne danych. Zatem eksploatacja polega na skanowaniu tych obszarów pamięci podręcznej pod kątem wartości wpisanych przez użytkowników i inne procesy oraz filtrowaniu tych informacji.
Najlepiej wyczyścić każdą pamięć podręczną po zakończeniu jej używania przez program, co zapobiegnie kradzieży danych. To usunięcie nie następuje automatycznie, umożliwiając innym aplikacjom na GPU monitorowanie pozostałej zawartości. Stąd nazwa LeftoverLocals.
„Takie wycieki danych mogą mieć poważne konsekwencje dla bezpieczeństwa, zwłaszcza wraz z pojawieniem się systemów uczenia maszynowego, w których pamięć lokalna jest wykorzystywana do przechowywania danych wejściowych, wyników i wag modeli” – powiedziały Sorensen i Heidi Khallaf, dyrektorzy ds. inżynierii AI i AI w Trail of Bits . Gwarancja uczenia maszynowego.
Chociaż usterka prawdopodobnie dotyczy wszystkich aplikacji GPU na podatnych na ataki chipach, budzi ona szczególne obawy w przypadku osób przetwarzających aplikacje do uczenia maszynowego ze względu na ilość danych przetwarzanych przez te modele przy użyciu procesorów graficznych, a tym samym ilość potencjalnie wrażliwych informacji, które mogą zostać przekazane. wykorzystać tę wadę. problem.
„LeftoverLocals może powodować wyciek około 5,5 MB na wywołanie procesora graficznego na AMD Radeon RX 7900 XT, co po uruchomieniu modelu 7B na llama.cpp daje łącznie około 181 MB na zapytanie LLM” – Sorensen i Khalaf wytłumaczyć. „To wystarczająca ilość informacji, aby z dużą dokładnością zrekonstruować odpowiedź LLM”.
Łowcy błędów współpracują z dostawcami procesorów graficznych, których dotyczy problem, oraz Centrum Koordynacyjnym CERT, aby wyeliminować i ujawnić wady od września 2023 r.
AMD, VA Biuletyn bezpieczeństwa Firma poinformowała we wtorek, że pomimo nadchodzących aktualizacji sterowników planuje rozpocząć wdrażanie środków łagodzących w marcu. Firma produkująca chipy potwierdziła również, że wiele jej produktów jest podatnych na wycieki pamięci, w tym wiele wersji procesorów Athlon i Ryzen do komputerów stacjonarnych i mobilnych, karty graficzne Radeon oraz procesory graficzne Radeon i Instinct do centrów danych.
Zapytany o LeftoverLocals, rzecznik AMD odpowiedział Nagrywać Do biuletynu planu łagodzenia wyślij następujące oświadczenie:
Google poinformował Trail of Bits, że problem dotyczy niektórych procesorów graficznych Imagination i że jest to projektant procesora Reforma została opublikowana Za nakłucia w zeszłym miesiącu.
Ponadto podał rzecznik Google Nagrywać To oświadczenie:
Tymczasem Apple powiedział Nagrywać W procesorach serii M3 i A17 znajdują się poprawki usuwające tę lukę, ale firma odmówiła komentarza w sprawie oceny ekspertów, według której „problem nadal występuje w Apple MacBook Air (M2)”.
„Co więcej, wydaje się, że problem nie dotyczył niedawno wydanego Apple iPhone 15 tak bardzo, jak poprzednie wersje” – dodał zespół Trail of Bits.
Rzecznik Apple powiedział nam również, że iGiant docenia pracę badaczy, ponieważ pogłębia ona wiedzę giganta na temat tego typu zagrożeń.
Qualcomm wypuścił Poprawka oprogramowania sprzętowego, chociaż według badaczy rozwiązuje to problem tylko w przypadku niektórych urządzeń. Chip Goliata nie odpowiedział Nagrywaćzapytania.
Nie mówi się, że dotyczy to Nvidii i Arm. To dobra wiadomość: wiele akceleratorów AI w chmurze pochodzi od Nvidii, więc jeśli trenujesz lub nad nimi pracujesz, nie ma w tym nic złego. Inne firmy – w szczególności Apple, Imagination i Qualcomm – nie są znane z obecności w publicznych pulach chmur GPU, więc ryzyko w tym przypadku jest ograniczone. ®
„Nieuleczalny myśliciel. Miłośnik jedzenia. Subtelnie czarujący badacz alkoholu. Zwolennik popkultury”.
More Stories
Mystery Show to darmowa galeria Game Boy Camera, której akcja rozgrywa się w nawiedzonym domu
Nowatorska nieujemna metoda modelowania Bayesa służąca do przewidywania przeżycia raka przy użyciu wielowymiarowych danych omicznych Metodologia badań medycznych BMC
Tim Cook potwierdza, że Apple w ciągu kilku dni ujawni wielkie plany dotyczące sztucznej inteligencji