英伟达 GPU,被白帽黑客发现了严重漏洞。
采用GPUHammer这一攻击手段,原本在GPU上运行的庞大模型,其准确率会骤降至0.02%,几乎等同于毫无价值。
多伦多大学的科研团队将此类攻击比喻为在模型内部引发的灾难性脑部损伤。
目前,研究人员在英伟达RTX A6000上对这种攻击进行了成功测试,同时,也存在着其他型号可能遭受影响的可能。
英伟达提出用户应采取一项防护策略,然而,此策略的实施将导致模型性能降低10%。
那么,这个漏洞到底是怎么一回事呢?
不是 Bug,而是“物理攻击”
GPUHammer 作为首款成功针对GPU显存实施Rowhammer攻击的工具,并非通过修改模型文件中的代码进行操作,而是直接对显存进行物理层面的干预。
这类攻击属于Rowhammer攻击范畴,攻击者通过不断对内存的某一行进行“敲击”,导致其相邻行的比特发生翻转——0变为1,1变为0,进而悄无声息地篡改了数据。
以往 Rowhammer 攻击目标仅限于 CPU 所使用的内存,然而,如今 GPU 也成为了其攻击的对象。
在GPUHammer项目中,科研人员成功实现了对深度学习模型权重指数位的反转操作。
例如,针对FP16浮点数,只需对某个重要位进行反转,其指数便会急剧上升至16倍——这直接导致了模型准确率的骤降。
在实验过程中,研究人员对诸如AlexNet、VGG、ResNet等众多著名的神经网络结构进行了攻击性测试。
研究结果显示,即便是对单个比特的微小改动,也可能引发模型性能的全面崩塌。遭受攻击后,模型的准确度会从原本的80%(基准准确度)骤降至仅有0.1%(降低后的准确度)。
在这种情形下,自动驾驶车辆有可能对交通标识产生误判,同时,在医疗人工智能的应用场景中,也可能出现诊断上的失误。
在云端的机器学习平台或是虚拟桌面基础设施(VDI)配置等共用GPU的环境中,存在恶意用户可能对邻近的工作任务实施GPUHammer攻击的风险,这可能导致推理结果的准确性受损,或者对存储的模型参数造成破坏。
GPUHammer对AI时代的基础设施造成了极大的破坏。
那么,有没有什么办法可以阻止这东西呢?
为了应对 GPUHammer 的攻击行为,英伟达迅速发布了一则安全警示。
英伟达建议用户启用一项称为系统级纠错码(ECC)的安全功能。
纠错码(ECC)的工作机制是在每段内存数据旁附加若干“校验码”,一旦发生比特位的翻转,例如0变为1,ECC便能立即检测并修正。
然而,它仅能纠正单个比特的失误,一旦遭遇双比特的颠倒,它只能发出警报,却无法进行修复。
此外,ECC 具有两面性,它能在减轻 GPUHammer 带来的影响的同时,却也可能引发 GPU 性能的下降。
研究团队指出,系统通常将ECC功能设为关闭状态,这是因为ECC数据存储在独立的内存区域之外,一旦开启,将导致内存使用量增加6.5%,并引起性能下降。具体到A6000GPU,启用ECC功能将造成12%的内存带宽减少,进而使得机器学习应用的运行速度降低3%至10%。
别怕,你的游戏不会崩
众多网友在评论区提出疑问,担心GPUHammar是否会干扰他们的游戏体验。
请放心,研究团队指出,尽管目前尚未揭示导致 GPU 比特翻转的根本性原因,然而,不同配置和设计的 GPU 在遭受 Rowhammer 攻击时表现出了显著的差异。
RTX3080和A100等芯片选用了与A6000 GDDR截然不同的DRAM架构,这种架构的采用让芯片成功绕开了Rowhammer效应的干扰。
此外,随着未来GPU的研制进展,一旦GPU内部集成了片上ECC(即片上错误校正码),便能有效地纠正单个位的错误,并能够自动检测出双位错误。这一技术进步无疑大大增加了对GPU进行Rowhammer攻击的难度。
除此之外,在云平台中,NVIDIA的内存隔离技术以及机密计算功能,通过内存的独立划分,成功阻断了多个租户对同一DRAM存储的共享,进而有效遏制了Rowhammer攻击的实施。
然而,随着人工智能能力的不断提升,其采用的隐蔽手段也愈发巧妙,GPUHammer 只是一个初步的尝试,而关于未来模型安全性的构建工作才刚刚迈出了第一步。
参考链接:
