您所在的位置: 首頁 >
安全研究 >
安全通告 >
蘋果、AMD和高通GPU曝出安全漏洞
蘋果、高通、AMD和Imagination等公司開發(fā)的GPU驅(qū)動程序近日曝出了設(shè)計缺陷,這個設(shè)計缺陷可能會被共享系統(tǒng)上的不法分子用來窺探其他用戶。
比如說,不法分子可以觀察到處理器為其他用戶加速的大語言模型(LLM)及其他機器學(xué)習(xí)軟件。對于那些在云端共享服務(wù)器上訓(xùn)練或運行LLM的人來說,這將是一個潛在安全隱患。在非共享系統(tǒng)上,設(shè)法在系統(tǒng)上運行的惡意軟件可能濫用這個弱點來窺視單獨用戶的GPU活動。
至關(guān)重要的是,圖形芯片及其驅(qū)動程序本該通過完全隔離每個用戶進程使用的內(nèi)存及其他資源來防止這種窺視,而實際上,許多芯片和驅(qū)動程序沒有充分安全地落實這項功能,從而導(dǎo)致數(shù)據(jù)被盜。
該漏洞編號為CVE-2023-4969,被稱為LeftoverLocals,是由美國加州大學(xué)圣克魯茲分校助理教授、Trail of Bits人工智能和機器學(xué)習(xí)安全團隊的安全研究工程師Tyler Sorensen發(fā)現(xiàn)。
在最新公布的研究詳細說明了,不法分子如何利用這個漏洞,讀取系統(tǒng)的本地GPU內(nèi)存中不應(yīng)該讀取的數(shù)據(jù)。此外,他們還發(fā)布了概念驗證代碼,用于窺視LLM聊天機器人與共享的GPU加速系統(tǒng)上的另一個用戶之間的對話。攻擊者只需要對共享GPU擁有足夠的訪問權(quán)限,便可以在其上面運行應(yīng)用程序代碼。
盡管采取了隔離保護機制,但在一個易受攻擊的配置上,代碼可以挖掘本地內(nèi)存,以查找已被其他程序用作數(shù)據(jù)緩存的區(qū)域。因此,利用漏洞需要檢查這些緩存區(qū)域,以查找其他用戶和進程寫入的值,并往外泄露這些信息。
理想情況下,每個緩存應(yīng)該會在程序使用完后被清除,以防止數(shù)據(jù)被盜。這種刪除不會自動發(fā)生,允許GPU上的其他應(yīng)用程序觀察剩余的內(nèi)容,LeftoverLocals這個名稱由此得來。
相關(guān)人員表示,數(shù)據(jù)泄露可能會釀成嚴重的安全后果,特別是考慮到機器學(xué)習(xí)系統(tǒng)大行其道,本地內(nèi)存被用來存儲模型的輸入、輸出和權(quán)重。
雖然該漏洞可能會影響易受攻擊芯片上的所有GPU應(yīng)用程序,但這讓處理機器學(xué)習(xí)應(yīng)用程序的那些人尤其擔憂,因為這些模型使用GPU處理大量的數(shù)據(jù),可能會被竊取大量敏感的信息。
在AMD Radeon RX 7900 XT上,每次GPU調(diào)用LeftoverLocals可能泄漏約5.5 MB的數(shù)據(jù),如果在llama.cpp上運行7B模型,每次LLM查詢會泄漏約多達181 MB的數(shù)據(jù)。這么多的信息足以高精度地重建LLM響應(yīng)。
自2023年9月以來,漏洞獵人一直在與受影響的GPU廠商和CERT協(xié)調(diào)中心合作,以解決和披露漏洞。
AMD在發(fā)布的一份安全公告中表示,計劃在3月份通過即將發(fā)布的驅(qū)動程序更新來推出緩解措施。這家芯片廠商還證實,它的很多產(chǎn)品都容易受到這個內(nèi)存泄漏的影響,包括多個版本的Athlon和Ryzen桌面及移動處理器、Radeon顯卡以及Radeon和Instinct數(shù)據(jù)中心GPU。
被問及LeftoverLocals時,AMD的發(fā)言人發(fā)來了以下聲明:
從我們目前從研究人員那里得到的情況來看,如果用戶和惡意軟件在同一臺本地機器上運行,那么GPU程序在運行期間用于臨時存儲數(shù)據(jù)的緩存內(nèi)存的最終內(nèi)容可能會被壞人看到。值得一提的是,系統(tǒng)的其他任何部分并沒有被暴露,用戶數(shù)據(jù)也沒有受到損害。由于利用該漏洞需要安裝惡意軟件,AMD建議用戶遵循最佳安全措施,包括保護對系統(tǒng)的訪問,避免下載來歷不明的軟件。
谷歌向Trail of Bits指出,Imagination的一些GPU受到了影響,這家處理器設(shè)計廠商上個月發(fā)布了修復(fù)漏洞的補丁。
此外,谷歌的發(fā)言人發(fā)表了以下聲明:
谷歌已經(jīng)意識到這個漏洞會影響AMD、蘋果和高通的GPU。谷歌已經(jīng)針對搭載受影響的AMD和高通GPU的ChromeOS設(shè)備發(fā)布了修復(fù)程序,分別作為Stable和LTS渠道的120和114版本的一部分。沒有選定某個版本的ChromeOS設(shè)備用戶不需要執(zhí)行任何操作。選定不受支持的版本的客戶應(yīng)該更新以獲得修復(fù)。
與此同時,蘋果的M3和A17系列處理器已修復(fù)了這個漏洞。
高通已經(jīng)發(fā)布了固件補丁,不過據(jù)研究人員聲稱,它只修復(fù)了一些設(shè)備的問題。
英偉達和Arm沒有受到影響。云端的大量人工智能加速器來自英偉達,如果你在英偉達加速器上訓(xùn)練或運行則無需擔心。其他公司(尤其是蘋果、Imagination和高通)在公共云GPU領(lǐng)域并不算得上是強大的存在,因此這方面的風險有限。
參考及來源:https://www.theregister.com/2024/01/17/leftoverlocals_gpu_flaw/
來源:嘶吼專業(yè)版