A medida que más empresas intensifican el desarrollo de sistemas de inteligencia artificial, recurren cada vez más a chips de unidades de procesamiento gráfico (GPU) para obtener la potencia informática que necesitan para funcionar. grandes modelos de lenguaje (LLM) y procesar datos rápidamente a escala masiva. Entre el procesamiento de videojuegos y la inteligencia artificial, la demanda de GPU nunca ha sido tan alta y los fabricantes de chips se apresuran a hacerlo. reforzar el suministro. Sin embargo, en los nuevos hallazgos publicados hoy, los investigadores están destacando una vulnerabilidad en múltiples marcas y modelos de GPU convencionales(incluidos chips de Apple, Qualcomm y AMD) que podrían permitir a un atacante robar grandes cantidades de datos de la memoria de una GPU.
La industria del silicio ha Pasé años refinando la seguridad de unidades centrales de procesamiento, o CPU, para que no filtren datos en la memoria incluso cuando están diseñadas para optimizar la velocidad. Sin embargo, dado que las GPU se diseñaron para una potencia de procesamiento de gráficos sin procesar, no se han diseñado en el mismo grado teniendo como prioridad la privacidad de los datos. Sin embargo, a medida que la IA generativa y otras aplicaciones de aprendizaje automático amplían los usos de estos chips, investigadores de la empresa de seguridad con sede en Nueva York Rastro de bits Dicen que las vulnerabilidades en las GPU son una preocupación cada vez más urgente.
«Existe una preocupación de seguridad más amplia por el hecho de que estas GPU no sean tan seguras como deberían y filtren una cantidad significativa de datos», le dice a WIRED Heidy Khlaaf, directora de ingeniería de IA y garantía de aprendizaje automático de Trail of Bits. “Estamos considerando entre 5 megabytes y 180 megabytes. En el mundo de las CPU, incluso un poco es demasiado para revelar”.
Para explotar la vulnerabilidad, que los investigadores llaman Locales sobrantes, los atacantes tendrían que haber establecido ya cierta cantidad de acceso al sistema operativo en el dispositivo del objetivo. Las computadoras y servidores modernos están diseñados específicamente para almacenar datos en silos, de modo que varios usuarios puedan compartir los mismos recursos de procesamiento sin poder acceder a los datos de los demás. Pero un ataque de LeftoverLocals derriba estos muros. Explotar la vulnerabilidad permitiría a un pirata informático extraer datos a los que no debería poder acceder desde la memoria local de las GPU vulnerables, exponiendo cualquier dato que esté allí para ser tomado, lo que podría incluir consultas y respuestas generadas por LLM, así como el pesos que impulsan la respuesta.
en su prueba de concepto, como se ve en el GIF a continuación, los investigadores demuestran un ataque en el que un objetivo (que se muestra a la izquierda) le pide al LLM Llama.cpp de código abierto que proporcione detalles sobre la revista WIRED. En cuestión de segundos, el dispositivo del atacante (que se muestra a la derecha) recopila la mayor parte de la respuesta proporcionada por el LLM al llevar a cabo un ataque LeftoverLocals en la memoria GPU vulnerable. El programa de ataque que crearon los investigadores utiliza menos de 10 líneas de código.
El verano pasado, los investigadores probaron 11 chips de siete fabricantes de GPU y múltiples marcos de programación correspondientes. Encontraron la vulnerabilidad LeftoverLocals en las GPU de Apple, AMD y Qualcomm y lanzaron una divulgación coordinada de gran alcance de la vulnerabilidad en septiembre en colaboración con el Centro de coordinación US-CERT y Khronos Group, un organismo de normalización centrado en gráficos 3D, aprendizaje automático y realidad virtual y aumentada.
Los investigadores no encontraron evidencia de que las GPU Nvidia, Intel o Arm contengan la vulnerabilidad LeftoverLocals, pero Apple, Qualcomm y AMD confirmaron a WIRED que se ven afectados. Esto significa que chips conocidos como el AMD Radeon RX 7900 XT y dispositivos como el iPhone 12 Pro y el MacBook Air M2 de Apple son vulnerables. Los investigadores no encontraron el defecto en las GPU Imagination que probaron, pero otras pueden ser vulnerables.