Toronto Üniversitesi’ndeki siber güvenlik araştırmacıları, özellikle ayrık NVIDIA GPU’larını hedefleyen ilk Rowhammer saldırısı olan Gpuhammer’ı başarıyla göstererek donanım seviyesi saldırılarında bir atılım yaptı.
GDDR6 belleğine sahip popüler NVIDIA A6000 GPU’ya odaklanan araştırma, geleneksel CPU anılarının ötesinde on yıllık Rowhammer güvenlik açığının önemli bir genişlemesini temsil ediyor.
Chris S. Lin, Joyce Qu ve Gururaj Saileshwar liderliğindeki araştırma ekibi, daha önce imkansız olduğu düşünülen şeyi elde etmek için önemli teknik zorlukların üstesinden geldi.
Gpuhammer saldırıları, A6000 GPU’daki 4 DRAM bankasına 8 bitlik dönüşleri başarıyla indükledi, bu da Graphics-DDR (GDDR) anılarının gerçekten CPU anılarını yıllarca rahatsız eden aynı rahatsızlık saldırılarına karşı savunmasız olduğunu gösterdi.
Araştırmacılar makalelerinde “Bu, NVIDIA GPU’lardaki ilk sistematik Rowhammer kampanyası” dedi. Saldırı, tersine mühendislik tescilli GDDR DRAM satır eşlemeleri ve çekiç yoğunluğunu yükseltmek için GPU’ya özgü bellek erişim optimizasyonları oluşturma dahil olmak üzere yeni teknikler geliştirmeyi gerektiriyordu.
AI sistemleri üzerindeki gerçek dünyadaki etkisi
Çıkarımlar akademik araştırmaların çok ötesine uzanmaktadır. Ekip, bu bit fliplerinin makine öğrenimi modellerinde yıkıcı doğruluk bozulmasına neden olabileceğini gösterdi ve Alexnet, VGG16, Resnet50, Densenet161 ve IncepceV31 dahil olmak üzere popüler sinir ağlarında% 80’e varan düşüşler.
Bu güvenlik açığı, özellikle GPU’ların hem bulut hem de kurumsal ortamlarda AI çıkarım iş yüklerinin çoğunluğunu güçlendirdiği göz önüne alındığında, söz konusudur.
Saldırı, FP16 temsil ağırlıklarındaki üssün en önemli bitini hedefler, parametre değerlerini katlanarak değiştirir ve model doğruluğunu önemli ölçüde azaltır. Bazı durumlarda,% 80 taban çizgisi doğruluğuna sahip modeller, stratejik olarak yerleştirilmiş tek bir Bit-Flip1 ile% 0.5 doğruluğuna indirildi.
Araştırmacılar, geleneksel Rowhammer tekniklerini GPU mimarilerine uyarlamada benzersiz engellerle karşılaştılar. GPU’lar, CPU’lara kıyasla yaklaşık 4 × daha yüksek bellek gecikmesine sahiptir ve daha hızlı yenileme oranları, geleneksel çekiçleme yaklaşımlarını etkisiz hale getirir.
Ekip, GPU verim yeteneklerinden yararlanan paralelleştirilmiş çekiçli çekirdekler geliştirerek bunu çözdü ve refrese penceresi başına 500.000’e yakın aktivasyon oranları elde etti1.
Ayrıca, GPU bellek eşlemelerinin tescilli doğası yenilikçi tersine mühendislik yaklaşımları gerektiriyordu. Fiziksel adreslerin erişilebilir olduğu CPU’ların aksine, NVIDIA GPU’lar bu eşlemeleri özel tutarak araştırmacıları savunmasız bellek yerlerini tanımlamak için yeni yöntemler geliştirmeye zorluyor1.
Nvidia’nın yanıtı ve hafifletme
15 Ocak 2025’teki sorumlu açıklamanın ardından Nvidia, güvenlik açığını kabul eden kapsamlı bir güvenlik danışmanlığı yayınladı. Şirket, sistem düzeyinde ECC’nin etkinleştirildiğinde saldırıyı etkili bir şekilde azalttığını vurguladı, ancak bu koruma yaklaşık% 6,5 bellek tepesi ve% 3-10 performans etkisi ile geliyor1.
Nvidia’nın danışmanlığı, Blackwell, ADA, Hopper, Amper, Jetson, Turing ve Volta mimarileri dahil olmak üzere birçok GPU neslini kapsar. Şirket, Profesyonel ve Veri Merkezi ürünlerinde sistem düzeyinde ECC’nin etkinleştirilmesini ve Hopper ve Blackwell Data Center GPU’larında varsayılan olarak etkinleştirildiğini kaydetmeyi şiddetle tavsiye ediyor.
Daha yeni GPU nesilleri için, Die ECC (OD-ECC) ek koruma sağlar. Bu teknoloji, RTX 50 Serisi Tüketici Kartları ve en son Veri Merkezi ürünleri de dahil olmak üzere desteklenen cihazlarda otomatik olarak etkinleştirilir ve Rowhammer saldırılarına yerleşik direnç sunar.
Araştırma, GPU güvenliğinde kritik bir boşluğu vurgulamaktadır, çünkü bu işlemciler AI ve yüksek performanslı bilgi işlem için giderek daha fazla merkezi hale gelir. NVIDIA, GPU pazar payının yaklaşık% 90’ına komuta ederken, güvenlik açığı dünya çapında milyonlarca sistemi etkilemektedir.
Bulut sağlayıcıları giderek daha fazla GPU zaman paylaşım hizmetleri sunarak, kötü niyetli aktörlerin diğer kullanıcıların AI modellerini veya GPU belleğinde bulunan hassas verileri hedefleyebileceği çok kiracılı ortamlar oluşturdukları için zamanlama özellikle önemlidir.
Araştırmacılar A6000 GPU’ya odaklanırken, diğer GPU mimarileri ve hafıza türlerinde benzer güvenlik açıkları olabilir. Ekip, HBM2E belleği ve RTX 3080 cihazlarına sahip A100 GPU’ların testlerinde bit flips göstermediğini, ancak bunun farklı eşik seviyelerinden veya bağışıklıktan ziyade gelişmiş hafifletmelerden kaynaklanabileceğini belirtti.
Araştırma, AI sistem tasarımındaki donanım düzeyinde güvenlik hususlarının öneminin ve GPU hesaplama kritik uygulamalar arasında genişlemeye devam ettikçe sağlam azaltma stratejilerine duyulan ihtiyacın altını çizmektedir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi