.
Uma falha de design nos drivers de GPU fabricados pela Apple, Qualcomm, AMD e provavelmente pela Imagination pode ser explorada por malfeitores em um sistema compartilhado para espionar outros usuários.
Isso significa que os arrepios podem, por exemplo, observar os grandes modelos de linguagem e outros softwares de aprendizado de máquina sendo acelerados pelos processadores para outros usuários. Isso será uma preocupação para quem treina ou executa LLMs em um servidor compartilhado na nuvem. Em um sistema não compartilhado, o malware que consegue rodar na caixa pode abusar da fraqueza para espionar as atividades da GPU do usuário solitário.
Crucialmente, os chips gráficos e seus drivers devem evitar esse tipo de monitoramento, isolando totalmente a memória e outros recursos usados por cada processo do usuário uns dos outros, mas na realidade, muitos não implementam essa funcionalidade de forma suficientemente segura, permitindo que os dados sejam transferidos. ser roubado.
A vulnerabilidade, rastreada como CVE-2023-4969 e chamada de LeftoverLocals, foi descoberta por Tyler Sorensen, engenheiro de pesquisa de segurança da equipe de garantia de IA e ML da Trail of Bits e professor assistente da Universidade da Califórnia, Santa Cruz.
Uma pesquisa divulgada na terça-feira detalhou como os malfeitores podem explorar o buraco para ler dados que não deveriam na memória GPU local de um sistema. Além disso, eles publicaram um código de prova de conceito para espionar um chatbot LLM em conversa com outro usuário em uma caixa compartilhada acelerada por GPU.
Para explorar a supervisão de segurança, o invasor só precisa ter acesso suficiente a uma GPU compartilhada para executar o código do aplicativo nela. Esse código, apesar de quaisquer proteções de isolamento em vigor, em uma configuração vulnerável pode explorar a memória local em áreas que foram usadas por outros programas como cache de dados. A exploração envolve, portanto, a inspeção dessas áreas de cache em busca de valores escritos por outros usuários e processos, e a exfiltração dessas informações.
Idealmente, cada cache deve ser apagado após o programa terminar de usá-lo, evitando o roubo de dados. Essa exclusão não acontece automaticamente, permitindo que outros aplicativos na GPU observem o conteúdo restante. Daí o nome, LeftoverLocals.
“Esse vazamento de dados pode ter graves consequências de segurança, especialmente devido ao surgimento de sistemas de ML, onde a memória local é usada para armazenar entradas, saídas e pesos do modelo”, de acordo com Sorensen e Heidy Khlaaf, diretor de engenharia da Trail of Bits para IA e Garantia de ML.
Embora a falha afete potencialmente todos os aplicativos de GPU em chips vulneráveis, ela é especialmente preocupante para aqueles que processam aplicativos de aprendizado de máquina devido à quantidade de dados que esses modelos processam usando GPUs e, portanto, à quantidade de informações potencialmente confidenciais que podem ser roubadas ao explorar isso. emitir.
“LeftoverLocals pode vazar aproximadamente 5,5 MB por invocação de GPU em um AMD Radeon RX 7900 XT que, ao executar um modelo 7B em llama.cpp, soma aproximadamente 181 MB para cada consulta LLM”, explicaram Sorensen e Khlaaf. “Esta é informação suficiente para reconstruir a resposta do LLM com alta precisão.”
Os caçadores de bugs têm trabalhado com os fornecedores de GPU afetados e com o Centro de Coordenação CERT para resolver e divulgar as falhas desde setembro de 2023.
A AMD, em um boletim de segurança divulgado na terça-feira, disse que planeja começar a implementar mitigações em março por meio de futuras atualizações de driver. A empresa de chips também confirmou que muitos de seus produtos são vulneráveis ao vazamento de memória, incluindo várias versões de seus processadores Athlon e Ryzen para desktop e móveis, placas gráficas Radeon e GPUs de data center Radeon e Instinct.
Quando questionado sobre LeftoverLocals, um porta-voz da AMD dirigiu Strong The One ao boletim sobre seus planos de mitigação e enviou o seguinte comunicado:
O Google apontou ao Trail of Bits que algumas GPUs Imagination foram afetadas e que o designer do processador lançou uma correção para suas falhas no mês passado.
Além disso, um porta-voz do Google deu Strong The One esta afirmação:
A Apple, entretanto, disse Strong The One seus processadores das séries M3 e A17 têm correções para a vulnerabilidade e se recusaram a comentar sobre a avaliação dos especialistas de que “o problema ainda parece estar presente no Apple MacBook Air (M2)”.
“Além disso, o recém-lançado Apple iPhone 15 não parece ter sido impactado como as versões anteriores”, acrescentou a equipe do Trail of Bits.
Um porta-voz da Apple também nos disse que a iGiant apreciou o trabalho dos pesquisadores à medida que avança na compreensão da megacorporação sobre esses tipos de ameaças.
A Qualcomm lançou um patch de firmware, embora, segundo os pesquisadores, isso apenas resolva o problema para alguns dispositivos. O chip golias não respondeu Strong The Oneperguntas.
Nvidia e Arm não foram afetados. Essa é a boa notícia aqui: muitos aceleradores de IA na nuvem vêm da Nvidia, então se você estiver treinando ou executando neles, você ficará bem. Os outros – Apple, Imagination e Qualcomm em particular – não são conhecidos por sua presença em pools de GPU em nuvem pública, portanto o risco é limitado. ®
.
