您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
蘋果、AMD和高通GPU曝出安全漏洞
蘋果、高通、AMD和Imagination等公司開發(fā)的GPU驅(qū)動(dòng)程序近日曝出了設(shè)計(jì)缺陷,這個(gè)設(shè)計(jì)缺陷可能會(huì)被共享系統(tǒng)上的不法分子用來(lái)窺探其他用戶。
比如說(shuō),不法分子可以觀察到處理器為其他用戶加速的大語(yǔ)言模型(LLM)及其他機(jī)器學(xué)習(xí)軟件。對(duì)于那些在云端共享服務(wù)器上訓(xùn)練或運(yùn)行LLM的人來(lái)說(shuō),這將是一個(gè)潛在安全隱患。在非共享系統(tǒng)上,設(shè)法在系統(tǒng)上運(yùn)行的惡意軟件可能濫用這個(gè)弱點(diǎn)來(lái)窺視單獨(dú)用戶的GPU活動(dòng)。
至關(guān)重要的是,圖形芯片及其驅(qū)動(dòng)程序本該通過(guò)完全隔離每個(gè)用戶進(jìn)程使用的內(nèi)存及其他資源來(lái)防止這種窺視,而實(shí)際上,許多芯片和驅(qū)動(dòng)程序沒有充分安全地落實(shí)這項(xiàng)功能,從而導(dǎo)致數(shù)據(jù)被盜。
該漏洞編號(hào)為CVE-2023-4969,被稱為L(zhǎng)eftoverLocals,是由美國(guó)加州大學(xué)圣克魯茲分校助理教授、Trail of Bits人工智能和機(jī)器學(xué)習(xí)安全團(tuán)隊(duì)的安全研究工程師Tyler Sorensen發(fā)現(xiàn)。
在最新公布的研究詳細(xì)說(shuō)明了,不法分子如何利用這個(gè)漏洞,讀取系統(tǒng)的本地GPU內(nèi)存中不應(yīng)該讀取的數(shù)據(jù)。此外,他們還發(fā)布了概念驗(yàn)證代碼,用于窺視LLM聊天機(jī)器人與共享的GPU加速系統(tǒng)上的另一個(gè)用戶之間的對(duì)話。攻擊者只需要對(duì)共享GPU擁有足夠的訪問(wèn)權(quán)限,便可以在其上面運(yùn)行應(yīng)用程序代碼。
盡管采取了隔離保護(hù)機(jī)制,但在一個(gè)易受攻擊的配置上,代碼可以挖掘本地內(nèi)存,以查找已被其他程序用作數(shù)據(jù)緩存的區(qū)域。因此,利用漏洞需要檢查這些緩存區(qū)域,以查找其他用戶和進(jìn)程寫入的值,并往外泄露這些信息。
理想情況下,每個(gè)緩存應(yīng)該會(huì)在程序使用完后被清除,以防止數(shù)據(jù)被盜。這種刪除不會(huì)自動(dòng)發(fā)生,允許GPU上的其他應(yīng)用程序觀察剩余的內(nèi)容,LeftoverLocals這個(gè)名稱由此得來(lái)。
相關(guān)人員表示,數(shù)據(jù)泄露可能會(huì)釀成嚴(yán)重的安全后果,特別是考慮到機(jī)器學(xué)習(xí)系統(tǒng)大行其道,本地內(nèi)存被用來(lái)存儲(chǔ)模型的輸入、輸出和權(quán)重。
雖然該漏洞可能會(huì)影響易受攻擊芯片上的所有GPU應(yīng)用程序,但這讓處理機(jī)器學(xué)習(xí)應(yīng)用程序的那些人尤其擔(dān)憂,因?yàn)檫@些模型使用GPU處理大量的數(shù)據(jù),可能會(huì)被竊取大量敏感的信息。
在AMD Radeon RX 7900 XT上,每次GPU調(diào)用LeftoverLocals可能泄漏約5.5 MB的數(shù)據(jù),如果在llama.cpp上運(yùn)行7B模型,每次LLM查詢會(huì)泄漏約多達(dá)181 MB的數(shù)據(jù)。這么多的信息足以高精度地重建LLM響應(yīng)。
自2023年9月以來(lái),漏洞獵人一直在與受影響的GPU廠商和CERT協(xié)調(diào)中心合作,以解決和披露漏洞。
AMD在發(fā)布的一份安全公告中表示,計(jì)劃在3月份通過(guò)即將發(fā)布的驅(qū)動(dòng)程序更新來(lái)推出緩解措施。這家芯片廠商還證實(shí),它的很多產(chǎn)品都容易受到這個(gè)內(nèi)存泄漏的影響,包括多個(gè)版本的Athlon和Ryzen桌面及移動(dòng)處理器、Radeon顯卡以及Radeon和Instinct數(shù)據(jù)中心GPU。
被問(wèn)及LeftoverLocals時(shí),AMD的發(fā)言人發(fā)來(lái)了以下聲明:
從我們目前從研究人員那里得到的情況來(lái)看,如果用戶和惡意軟件在同一臺(tái)本地機(jī)器上運(yùn)行,那么GPU程序在運(yùn)行期間用于臨時(shí)存儲(chǔ)數(shù)據(jù)的緩存內(nèi)存的最終內(nèi)容可能會(huì)被壞人看到。值得一提的是,系統(tǒng)的其他任何部分并沒有被暴露,用戶數(shù)據(jù)也沒有受到損害。由于利用該漏洞需要安裝惡意軟件,AMD建議用戶遵循最佳安全措施,包括保護(hù)對(duì)系統(tǒng)的訪問(wèn),避免下載來(lái)歷不明的軟件。
谷歌向Trail of Bits指出,Imagination的一些GPU受到了影響,這家處理器設(shè)計(jì)廠商上個(gè)月發(fā)布了修復(fù)漏洞的補(bǔ)丁。
此外,谷歌的發(fā)言人發(fā)表了以下聲明:
谷歌已經(jīng)意識(shí)到這個(gè)漏洞會(huì)影響AMD、蘋果和高通的GPU。谷歌已經(jīng)針對(duì)搭載受影響的AMD和高通GPU的ChromeOS設(shè)備發(fā)布了修復(fù)程序,分別作為Stable和LTS渠道的120和114版本的一部分。沒有選定某個(gè)版本的ChromeOS設(shè)備用戶不需要執(zhí)行任何操作。選定不受支持的版本的客戶應(yīng)該更新以獲得修復(fù)。
與此同時(shí),蘋果的M3和A17系列處理器已修復(fù)了這個(gè)漏洞。
高通已經(jīng)發(fā)布了固件補(bǔ)丁,不過(guò)據(jù)研究人員聲稱,它只修復(fù)了一些設(shè)備的問(wèn)題。
英偉達(dá)和Arm沒有受到影響。云端的大量人工智能加速器來(lái)自英偉達(dá),如果你在英偉達(dá)加速器上訓(xùn)練或運(yùn)行則無(wú)需擔(dān)心。其他公司(尤其是蘋果、Imagination和高通)在公共云GPU領(lǐng)域并不算得上是強(qiáng)大的存在,因此這方面的風(fēng)險(xiǎn)有限。
參考及來(lái)源:https://www.theregister.com/2024/01/17/leftoverlocals_gpu_flaw/
來(lái)源:嘶吼專業(yè)版