Nowa luka w zabezpieczeniach LeftoverLocals zagraża bezpieczeństwu LLM na procesorach graficznych Apple, AMD i Qualcomm

Nowojorska firma zajmująca się bezpieczeństwem Trail of Bits zidentyfikowała lukę w zabezpieczeniach różnych modeli procesorów graficznych, w tym AMD, Qualcomm i Apple. Luka ta, nazwana LeftoverLocals, może potencjalnie pozwolić atakującym na kradzież dużych ilości danych z pamięci procesora graficznego. Główne klienckie procesory graficzne stanowią znaczną część sprzętu przyspieszającego sztuczną inteligencję i układy LLM, ponieważ kosztują ułamek specjalnie zbudowanych procesorów graficznych dla centrów danych i są dostępne na rynku detalicznym. W przeciwieństwie do procesorów, które zostały poddane gruntownym zabezpieczeniom przed wyciekami danych, procesory graficzne zostały zaprojektowane głównie z myślą o przyspieszaniu grafiki i brakuje im podobnej architektury prywatności danych. Według naszej wiedzy żaden z klienckich procesorów graficznych nie korzysta z wirtualizacji w swojej pamięci graficznej. Ogólnie rzecz biorąc, akceleracja grafiki jest aplikacją bardzo wrażliwą na pamięć i wymaga, aby jednostki SIMD miały bezpośredni dostęp do pamięci, przy możliwie najmniejszych opóźnieniach.

Na początek dobra wiadomość — aby luka mogła zostać wykorzystana, atakujący musi mieć dostęp do urządzenia docelowego wyposażonego w podatny na ataki procesor graficzny (tj. przejść przez zabezpieczenia na poziomie systemu operacyjnego). Atak mógłby rozbić silosy danych na nowoczesnych komputerach i serwerach, umożliwiając nieautoryzowany dostęp do pamięci GPU. Potencjalne naruszenie danych może obejmować zapytania, odpowiedzi generowane przez LLM oraz wagi decydujące o odpowiedzi. Badacze przetestowali 11 układów siedmiu producentów procesorów graficznych i odkryli lukę w układach graficznych Apple, AMD i Qualcomm. Chociaż własne procesory graficzne NVIDIA, Intel i ARM nie wykazały istnienia luki, Apple, Qualcomm i AMD potwierdziły, że problem dotyczy ich procesorów graficznych i że pracują nad rozwiązaniem zapewniającym bezpieczeństwo. Firma Apple udostępniła poprawki do swoich najnowszych procesorów M3 i A17, ale starsze urządzenia z poprzednimi generacjami krzemu Apple pozostają podatne na ataki. Qualcomm dostarcza aktualizacje zabezpieczeń, a AMD planuje zaoferować rozwiązania łagodzące poprzez aktualizacje sterowników w marcu 2024 r.