Nowy atak na karty NVIDIA. GPUHammer może zniszczyć modele AI bez śladu

Grupa naukowców z Uniwersytetu w Toronto ujawniła nowy, groźny atak o nazwie GPUHammer, który potrafi odwracać bity w pamięci kart graficznych NVIDIA, prowadząc do poważnej korupcji danych w modelach sztucznej inteligencji. Co najbardziej niepokojące, atak nie wymaga modyfikacji kodu ani ingerencji w dane wejściowe. Wystarczy samo współdzielenie zasobów GPU, na przykład w chmurze.

Choć NVIDIA już reaguje na zagrożenie i publikuje zalecenia dotyczące zabezpieczeń, każdy użytkownik kart z pamięcią GDDR6 powinien zwrócić uwagę na tę nową lukę.

GPUHammer jest wersją znanego ataku Rowhammer, tyle że przeniesioną z klasycznych pamięci RAM na pamięci VRAM w kartach graficznych.

Jak działa GPUHammer?

GPUHammer jest wersją znanego ataku Rowhammer, tyle że przeniesioną z klasycznych pamięci RAM na pamięci VRAM w kartach graficznych. W uproszczeniu, współczesne układy pamięci są tak gęsto upakowane, że wielokrotne odczytywanie lub zapisywanie jednej linii komórek może wywołać zakłócenia elektryczne, które zmieniają bity w sąsiednich liniach. Jeden odwrócony bit może oznaczać zmianę liczby, polecenia lub, co w przypadku AI jest szczególnie groźne, wagi w sieci neuronowej. Dotychczas Rowhammer był głównie problemem pamięci DDR4. Teraz okazuje się, że GDDR6 również jest podatna, co ma ogromne konsekwencje, zwłaszcza w zastosowaniach związanych ze sztuczną inteligencją oraz w środowiskach serwerowych i profesjonalnych.

Naukowcy przeprowadzili atak na realnej karcie NVIDIA RTX A6000, wielokrotnie „uderzając” w wybrane obszary pamięci, aż udało im się wywołać błędy w sąsiadujących komórkach. W jednym z eksperymentów precyzyjne odwrócenie jednego bitu sprawiło, że skuteczność modelu AI spadła z 80% do mniej niż 1%, całkowicie go unieszkodliwiając.

Źródło: Future

Kogo dotyczy problem?

Atak nie jest zagrożeniem dla zwykłych graczy czy domowych użytkowników. GPUHammer jest szczególnie niebezpieczny w środowiskach współdzielonych, takich jak:

• serwery chmurowe
• klastry obliczeniowe do trenowania AI
• VDI (Virtual Desktop Infrastructure)
• platformy cloud gamingowe

W takich miejscach wystarczy, że atakujący korzysta z tej samej karty graficznej, by spróbować zakłócić cudze obliczenia.

Zagrożone są różne serie kart NVIDIA, m.in. Ampere, Ada, Hopper czy Turing, zwłaszcza w wersjach profesjonalnych. Na szczęście nowsze układy, jak RTX 5090 czy H100, posiadają już sprzętowe mechanizmy korekcji błędów (ECC) wbudowane w chip.

Reakcja NVIDII

NVIDIA nie zwlekała z reakcją. Firma zaleca przede wszystkim włączenie ECC (Error Correction Code), o ile karta graficzna wspiera tę funkcję. ECC umożliwia wykrycie i automatyczne naprawianie pojedynczych błędów w pamięci. Warto jednak pamiętać, że:

• włączenie ECC może obniżyć wydajność treningów AI nawet o 10%
• dostępna pamięć VRAM może się zmniejszyć o ok. 6–6,5%

Dla osób zajmujących się poważnymi projektami AI to jednak niewielki koszt w porównaniu z ryzykiem uszkodzenia modeli.

Można włączyć ECC za pomocą narzędzia wiersza poleceń firmy Nvidia, wpisując: nvidia-smi -e 1. Status ECC można sprawdzić poleceniem: nvidia-smi -q | grep ECC