Nvidia рекомендує своїм клієнтам з однієї з лінійок графічних процесорів вжити заходів, що призведуть до зниження продуктивності на рівні до 10 відсотків, аби захистити користувачів від вразливостей, які можуть дати можливість хакерам зіпсувати проекти та викликати інші проблеми.
Цей крок став відповіддю на атаку, яку продемонструвала команда академічних дослідників проти Nvidia RTX A6000, популярного графічного процесора, що широко використовується у високопродуктивних обчисленнях та доступний через численні хмарні сервіси. Вразливість, виявлена дослідниками, робить GPU вразливим до атаки Rowhammer, що експлуатує фізичні недоліки в модулях DRAM, які зберігають дані.
Rowhammer дозволяє хакерам змінювати або пошкоджувати дані, що зберігаються в пам’яті, швидким та повторюваним доступом до фізичного ряду комірок пам’яті. Постійне «ударювання» за вибірковими рядами викликає зміни біта в сусідніх рядах, що означає, що цифровий нуль перетворюється на одиницю і навпаки. Досі атаки Rowhammer демонструвалися лише проти чіпів пам’яті для ЦП, які використовуються для загальних обчислювальних задач.
Наче катастрофічні пошкодження мозку
Ситуація змінилась минулого тижня, коли дослідники представили GPUhammer, першу відому успішну атаку Rowhammer на дискретний GPU. Традиційно графічні процесори використовувались для рендерингу графіки та зламу паролів. Однак у останні роки GPU стали основними виконавцями для таких завдань, як високопродуктивні обчислення, машинне навчання, нейронні мережі та інші AI застосування. Жодна компанія не отримала більше вигоди від буму AI та HPC, ніж Nvidia, яка минулого тижня стала першою компанією з вартістю 4 трильйони доларів. Хоча дослідники продемонстрували свою атаку лише на A6000, є висока ймовірність, що це працює також і на інших GPU від Nvidia.
Дослідницький експеримент зміг підірвати моделі глибоких нейронних мереж, використовувані в машинному навчанні для таких завдань, як автономне водіння, медичні програми та медичне зображення для аналізу МРТ. GPUHammer змінює один біт у показнику ваги моделі – наприклад, у y, де дробове число представляється як x помножене на 2y. Зміна одного біта може підвищити значення показника на 16. В результаті, вага моделі змінюється у 216 разів, що знижує точність моделі з 80 відсотків до 0,1 відсотка, зазначив Гурурадж Сайлешвар, доцент Торонто і співавтор академічної статті, що демонструє цю атаку.