Güvenlik araştırmacıları, ilk Rowhammer Saldırısı Hedefleme Grafik İşleme Birimi (GPU) belleğini başarıyla gösterdiler ve saldırganların yaygın olarak kullanılan NVidiahardware üzerinde çalışan yapay zeka modellerini sabote etmesine izin verebilecek kritik bir güvenlik açığı ortaya koydu.
Gpuhammer olarak adlandırılan saldırı, Toronto Üniversitesi’nden araştırmacılar Chris Lin, Joyce Qu ve Gururaj Saileshwar tarafından geliştirildi ve AI kullanımı için ciddi riskler oluşturabilir.
GPU belleğinde bireysel bitleri çevirerek, araştırmacılar AI model doğruluğunun yüzde 80’den yüzde 0,5’in altına düşmesine neden oldu – bu sadece tek bir bozuk bit ile.
Araştırmacılar, saldırılarını modern bellek yongalarının fiziksel özelliklerinden yararlanan ve hafifletilmesi zor olan mevcut Rowhammer donanım güvenlik açığına dayandırdılar.
Rowhammer güvenlik açıkları CPU sistemleri üzerinde kapsamlı bir şekilde incelenirken, makine öğrenimi uygulamaları için kritik olan GPU bellek sistemleri üzerindeki etkilerinin keşfedilmemiş kaldığını belirtmişlerdir.
Teknik olarak, araştırmacılar belirli bellek sıralarını hızla etkinleştirerek güvenlik açığından yararlandı.
Bu, bitişik sıralarda bitleri çeviren ve potansiyel olarak depolanan verileri bozan elektrik parazitine neden olmak için yapıldı.
Saldırı yapmak için Toronto Üniversitesi ekibi, GPU sistemleri için Rowhammer tekniklerini uyarlamak için zor teknik zorlukların üstesinden geldi.
Örneğin, grafik işlemciler, tipik olarak başarılı saldırıları önleyen daha yüksek gecikme ve daha hızlı yenileme oranları ile CPU’lardan farklı bellek mimarileri kullanır.
Bu sorunu çözmek için, araştırmacılar NVIDIA GPUS MAP bellek adreslerinin nasıl ele alındığını tersine çevirmek için yeni teknikler geliştirdiler ve yenileme dönemi başına 620.000’e kadar aktivasyon oranlarına ulaşan paralel saldırı modelleri oluşturdular – teorik maksimuma yakın.
Başarılı gösterileri, 48 gigabayt GDDR6 (grafik çift veri hızı) belleğe sahip bir NVIDIA A6000 GPU’yu hedef aldı.
Saldırı, dört bellek bankasında sekiz bit flip üretti ve GPU Rowhammer saldırılarının sadece teorik olmaktan ziyade pratik olduğunu kanıtladı.
AI sistemleri üzerinde dramatik etki
Araştırmacılar saldırılarını beş AI modeline karşı test ettiler: Alexnet, VGG16, ResNet50, Densenet161 ve IncepceV3.
Bunlar üzerinde yapılan testler, nöral ağ ağırlığı üslerinin en önemli bitini hedefleyen tek bit flips’in doğruluğun önemli ölçüde çökmesine neden olduğunu gösterdi.
En şiddetli durumlarda, daha önce görüntü tanıma görevlerinde yüzde 80 doğruluk elde eden modeller, tek bir bozuk bitten sonra performansın sadece yüzde 0,02’ye düştüğünü gördü.
Böyle bir bozulma seviyesi, AI sistemi performansında büyük bir düşüşe yol açacaktır.
Kaynak: Lin, Qu ve Saileshwar
GPUHAMMER saldırıları, modern AI sistemlerinde yaygın bir optimizasyon olan 16 bit yüzen nokta ağırlıkları kullanan modellere karşı özellikle etkilidir.
Bu ağırlıkların üs kısmındaki tek bitleri çevirmek, tüm sinir ağı boyunca basamaklı olarak değerlerini katlanarak değiştirebilir.
Ayrıca, GPUHAMMER, birden fazla müşterinin iş yüklerinin genellikle aynı GPU donanımını paylaştığı ve verilerinin aynı bellek bankasında bulunduğu bulut tabanlı AI hizmetleri için riskler oluşturmaktadır.
Araştırmacılar ayrıca, GPU bellek tahsisçilerinin serbest bellek bloklarını nasıl kullandıklarını nasıl kullanarak saldırganların kurban verilerini tam olarak hedeflemelerine izin verebilecek bellek manipülasyon teknikleri gösterdiler.
Nvidia gpuhammer’ı onaylar ve hafifletme arar
Gpuhammer, bu yıl Ocak ayında grafiklere ve AI işlemci satıcısı Nvidia’ya açıklandı, bu da güvenlik açığını doğruladı ve potansiyel düzeltmeleri araştırdı.
AWS, Microsoft Azure ve Google Cloud Platform gibi büyük bulut sağlayıcılar GPUMMER hakkında da bilgilendirildi.
Her biri değiş tokuşlar olsa da, birkaç azaltma stratejisi mevcuttur.
Hata düzeltme kodu (ECC) belleği etkinleştirme tek bit flip saldırılarını önleyebilir, ancak yüzde üç ila 10 arasında performans cezaları ve yüzde 6,5 bellek ek yükü getirir.
Araştırmacılar, birçok kuruluşun bu genel giderler nedeniyle varsayılan olarak ECC’yi devre dışı bıraktığını ve bu da bant genişliğini yüzde 12’ye kadar azaltabileceğini buldu.
GPU üreticileri ayrıca gelecekteki bellek nesillerinde Yenileme Yönetimi (RFM) veya Satır Başına Aktivasyon Sayım (PRAC) gibi modern Rowhammer savunmalarını da uygulayabilir.
Sanal-fiziksel bellek eşlemeleri rastgele hale getirme, saldırganları tekrar tekrar profille profil oluşturmaya zorlayacak ve bu da saldırı karmaşıklığını önemli ölçüde artıracaktır.
Araştırmacılar, 12 Ağustos’ta NVIDIA’nın ambargonunun sona ermesinin ardından kodlarını halka açık hale getirmeyi planlıyorlar.