Найти в Дзене
Герман Геншин
20,2 тыс подписчиков

Графические процессоры AMD, Apple и Qualcomm передают данные ИИ в результате атак LeftoverLocals

8
3 мин
Новая уязвимость под названием "LeftoverLocals", затрагивающая графические процессоры от AMD, Apple, Qualcomm и Imagination Technologies, позволяет извлекать данные из локального пространства памяти. Отслеживаемая как CVE-2023-4969, проблема безопасности позволяет восстанавливать данные с уязвимых GPU, особенно в контексте больших языковых моделей (LLM) и процессов машинного обучения (ML). LeftoverLocals была обнаружена исследователями Trail of Bits Тайлером Соренсеном (Tyler Sorensen) и Хейди Хлаафом (Heidy Khlaaf), которые сообщили о проблеме в частном порядке производителям, после чего опубликовали технический обзор. Подробности LeftoverLocals Дефект безопасности связан с тем, что некоторые GPU-фреймворки не полностью изолируют память, и одно ядро, работающее на машине, может читать значения в локальной памяти, записанные другим ядром. Исследователи Trail of Bits Тайлер Соренсен и Хейди Хлааф, которые обнаружили и сообщили об уязвимости, объясняют, что злоумышленнику достаточно зап
Оглавление

Новая уязвимость под названием "LeftoverLocals", затрагивающая графические процессоры от AMD, Apple, Qualcomm и Imagination Technologies, позволяет извлекать данные из локального пространства памяти.

Отслеживаемая как CVE-2023-4969, проблема безопасности позволяет восстанавливать данные с уязвимых GPU, особенно в контексте больших языковых моделей (LLM) и процессов машинного обучения (ML).

LeftoverLocals была обнаружена исследователями Trail of Bits Тайлером Соренсеном (Tyler Sorensen) и Хейди Хлаафом (Heidy Khlaaf), которые сообщили о проблеме в частном порядке производителям, после чего опубликовали технический обзор.

Подробности LeftoverLocals

Дефект безопасности связан с тем, что некоторые GPU-фреймворки не полностью изолируют память, и одно ядро, работающее на машине, может читать значения в локальной памяти, записанные другим ядром.

Исследователи Trail of Bits Тайлер Соренсен и Хейди Хлааф, которые обнаружили и сообщили об уязвимости, объясняют, что злоумышленнику достаточно запустить приложение для вычислений на GPU (например, OpenCL, Vulkan, Metal), чтобы прочитать данные, оставленные пользователем в локальной памяти GPU.

LeftoverLocals позволяет злоумышленникам запустить "слушателя" - ядро GPU, которое считывает данные из неинициализированной локальной памяти и может сбросить их в постоянное место, например, в глобальную память.

Если локальная память не очищена, злоумышленник может использовать слушателя для чтения значений, оставленных "писателем" - программой, которая сохраняет значения в локальной памяти.

На анимации ниже показано, как взаимодействуют программы-писатели и слушатели и как последние могут получить данные от первых на пораженных GPU.

Восстановленные данные могут раскрыть конфиденциальную информацию о вычислениях жертвы, включая входы, выходы, веса и промежуточные вычисления модели.

В многопользовательском контексте GPU, на которых работают LLM, LeftoverLocals можно использовать для прослушивания интерактивных сессий других пользователей и восстановления из локальной памяти GPU данных процесса-"писателя" жертвы.

Исследователи из Trail of Bits создали доказательство концепции (PoC) для демонстрации LeftoverLocals и показали, что противник может восстановить 5,5 МБ данных за одно обращение к GPU, в зависимости от фреймворка GPU.

На AMD Radeon RX 7900 XT, работающем с открытым исходным кодом LLM llama.cpp, злоумышленник может получить 181 МБ на запрос, что достаточно для высокоточной реконструкции ответов LLM.

Воздействие и устранение последствий

Исследователи Trail of Bits обнаружили CVE-2023-4969 в сентябре 2023 года и проинформировали CERT/CC чтобы помочь скоординировать усилия по раскрытию и исправлению.

В настоящее время ведутся работы по устранению проблемы, поскольку некоторые производители уже исправили ее, в то время как другие все еще работают над разработкой и внедрением защитного механизма.

В случае с Apple, последняя модель iPhone 15 не затронута, исправления стали доступны для процессоров A17 и M3, но проблема сохраняется на компьютерах, работающих на базе M2.

Компания AMD сообщила, что следующие модели графических процессоров остаются уязвимыми, пока инженеры компании изучают эффективные стратегии борьбы с проблемой.

Qualcomm выпустила исправление в прошивке v2.0.7, которое устраняет LeftoverLocals в некоторых чипах, но другие остаются уязвимыми.

Imagination выпустила исправление в DDK v23.3 в декабре 2023 года. Однако в январе 2024 года Google предупредила, что некоторые графические процессоры этого производителя все еще уязвимы.

Представители Intel, NVIDIA и ARM GPU сообщили, что проблема утечки данных не затрагивает их устройства.

Trail of Bits предлагает производителям GPU реализовать механизм автоматической очистки локальной памяти между вызовами ядра, обеспечивающий изоляцию конфиденциальных данных, записанных одним процессом.

Хотя такой подход может привести к некоторому снижению производительности, исследователи считают, что этот компромисс оправдан, учитывая серьезность последствий для безопасности.

Среди других возможных мер по снижению риска - отказ от использования многопользовательских сред GPU в критически важных для безопасности сценариях и реализация мер по снижению риска на уровне пользователя.

Если тебе понравилась статья - подпишись на канал, чтобы не пропустить ещё много полезных статей!

Также ты можешь читать меня здесь:

Qualcomm Incorporated
27,1 тыс интересуются