Обновить все устройства, затронутые уязвимостью LeftoverLocals в том числе некоторые iPhone, iPad и Mac, может оказаться непросто.
Промышленность потратила годы на совершенствование безопасности центральных процессоров, или CPU, чтобы они не сливали данные в память, даже если они построены с учетом скорости. Однако, поскольку графические процессоры создавались для обработки графики, их архитектура не была в такой же степени ориентирована на конфиденциальность данных. Однако по мере того, как генеративный искусственный интеллект и другие приложения машинного обучения расширяют сферу применения этих чипов, исследователи из нью-йоркской компании Trail of Bits, занимающейся вопросами безопасности, говорят, что уязвимости в GPU становятся все более актуальной проблемой.
"Существует более широкая проблема безопасности, связанная с тем, что эти GPU не настолько безопасны, как должны быть, и происходит утечка значительного количества данных", - говорит Хейди Хлаф, инженерный директор Trail of Bits по обеспечению безопасности ИИ и машинного обучения. "Речь идет о суммах от 5 мегабайт до 180 мегабайт. В мире процессоров даже бит - это слишком много для раскрытия."
Для использования уязвимости, которую исследователи называют LeftoverLocals, злоумышленникам необходимо иметь определенный доступ к операционной системе на устройстве цели. Современные компьютеры и серверы специально разработаны для разделения данных, чтобы несколько пользователей могли совместно использовать одни и те же вычислительные ресурсы, не имея доступа к данным друг друга. Но атака LeftoverLocals разрушает эти стены. Эксплуатация уязвимости позволит хакеру извлечь данные, к которым он не должен иметь доступа, из локальной памяти уязвимых графических процессоров, раскрыв все данные, которые окажутся там на виду, включая запросы и ответы, генерируемые LLM, а также веса, определяющие ответ.
В своем доказательстве концепции, как показано в GIF ниже, исследователи демонстрируют атаку, в которой цель - показана слева - просит LLM Llama.cpp с открытым исходным кодом предоставить детали о журнале. В течение нескольких секунд устройство атакующего, показанное справа, забирает большую часть ответа, предоставленного LLM, осуществляя атаку LeftoverLocals на уязвимую память GPU. Программа атаки, созданная исследователями, содержит менее 10 строк кода.
Прошлым летом исследователи протестировали 11 чипов от семи производителей GPU и несколько соответствующих фреймворков программирования. Они обнаружили уязвимость LeftoverLocals в GPU от Apple, AMD и Qualcomm и в сентябре начали широкомасштабное скоординированное раскрытие уязвимости в сотрудничестве с Координационным центром US-CERT и Khronos Group, организацией по стандартизации, занимающейся 3D-графикой, машинным обучением, виртуальной и дополненной реальностью.
Исследователи не нашли доказательств того, что GPU Nvidia, Intel или Arm содержат уязвимость LeftoverLocals, но Apple, Qualcomm и AMD подтвердили, что они подвержены этой уязвимости. Это означает, что уязвимыми являются такие известные чипы, как AMD Radeon RX 7900 XT, и такие устройства, как Apple iPhone 12 Pro и M2 MacBook Air. Исследователи не обнаружили дефект в протестированных ими графических процессорах Imagination, но другие могут быть уязвимы.
Представитель Apple признал наличие LeftoverLocals и отметил, что компания поставляет исправления с последними процессорами M3 и A17, которые она представила в конце 2023 года. Это означает, что уязвимость, по-видимому, все еще присутствует в миллионах существующих iPhone, iPad и MacBook, которые зависят от предыдущих поколений процессоров Apple. 10 января исследователи из Trail of Bits провели повторную проверку уязвимости на ряде устройств Apple. Они обнаружили, что MacBook Air M2 от Apple все еще уязвим, но iPad Air 3-го поколения A12, похоже, был исправлен.
Представитель Qualcomm сообщил, что компания "находится в процессе" предоставления обновлений безопасности своим клиентам, добавив: "Мы призываем конечных пользователей применять обновления безопасности по мере их появления у производителей устройств". Исследователи The Trail of Bits утверждают, что Qualcomm подтвердила, что выпустила исправления для прошивки уязвимости.
В среду компания AMD выпустила совет по безопасности, в котором подробно описала свои планы по исправлению LeftoverLocals. Они будут представлять собой "необязательные меры защиты", которые будут выпущены в марте.
В свою очередь, компания Google в своем заявлении сообщила, что "знает об этой уязвимости, затрагивающей графические процессоры AMD, Apple и Qualcomm". Google выпустила исправления для устройств ChromeOS с затронутыми GPU AMD и Qualcomm."
Исследователи Trail of Bits предупреждают, что добиться распространения этих различных исправлений будет непросто. Даже когда производители GPU выпускают полезные исправления, производители устройств, которые устанавливают их чипы в персональные компьютеры и другие устройства, должны затем упаковать и передать защиту конечным пользователям. При таком количестве игроков в глобальной технологической экосистеме сложно координировать действия всех сторон.
Хотя для эксплуатации уязвимости потребуется определенный доступ к устройствам целей, потенциальные последствия будут значительными, учитывая, что обычно высокомотивированные злоумышленники осуществляют взломы путем объединения нескольких уязвимостей в цепочку. Кроме того, получение "первоначального доступа" к устройству уже необходимо для многих распространенных типов цифровых атак.
"Если вам удастся попасть в ту же систему, вы сможете просто подслушать кого-то и ответы в чате LLM - это было очень просто сделать", - говорит Тайлер Соренсен, инженер-исследователь безопасности Trail of Bits, который нашел уязвимость и является исследователем инженерной безопасности в Калифорнийском университете в Санта-Крузе.
Исследователи отмечают, что утечки из процессов машинного обучения в других приложениях могут быть очень чувствительными - например, если в мобильное медицинское приложение встроена искусственная поддержка пациентов. Но графический процессор может обрабатывать любое количество данных, и конфиденциальность данных в памяти - это основополагающий элемент, который должен быть встроен в кремний с самого начала. За шесть лет, прошедших с момента раскрытия уязвимостей процессоров Spectre и Meltdown, производители микросхем вложили значительные силы в усиление и совершенствование защиты памяти, причем не только с помощью исправлений для прошивок существующих чипов, но и путем внесения физических улучшений в конструкцию процессоров. На реализацию этих аппаратных изменений уходят годы, поскольку производственный конвейер планируется заблаговременно.
"Если пользователь работает на той же локальной машине, что и вредоносное ПО, то конечное содержимое памяти программной скретч-памяти GPU, которая используется для временного хранения данных во время работы, может быть доступно для просмотра злоумышленникам", - заявила AMD об исследовании Trail of Bits. Компания уточнила, что "AMD также считает, что никакая другая часть системы не подвергается воздействию, а пользовательские данные не подвергаются опасности".
Однако на практике годы уязвимости памяти процессоров продемонстрировали потенциальные риски и важность устранения таких недостатков. "Мы видели утечки, которые были исправлены, и которые раскрывали такие вещи, как данные веб-браузера, а они очень чувствительны", - говорит Хлааф из Trail of Bits, ссылаясь на прошлые примеры утечек из памяти чипов.
В последние месяцы другие данные о небезопасности GPU подчеркнули потенциальную угрозу утечки информации в этих все более популярных и жизненно важных процессорах. Поскольку за последние 18 месяцев генеративный искусственный интеллект пережил бум, компании бросились покупать, а в некоторых случаях и создавать свои собственные более быстрые и мощные GPU. По словам исследователей Trail of Bits, уязвимость LeftoverLocals подчеркивает, что многие компоненты, необходимые для разработки и запуска машинного обучения в целом, имеют "неизвестные риски безопасности" и "не были тщательно проверены экспертами по безопасности"
Исследователи говорят, что LeftoverLocals является частью важного движения по повышению осведомленности о необходимости усовершенствования безопасности GPU по аналогии с теми, что были реализованы для CPU. Это особенно актуально, поскольку все больше производителей, например Apple, объединяют CPU и GPU для достижения максимальной эффективности в схемах, известных как "системы-на-чипе", или SoCs.
"GPU имеет доступ к полной памяти и, как мы видим, может быть довольно небезопасным", - говорит Соренсен из Trail of Bits. "Вместо того чтобы выделить его отдельно, вы просто помещаете его в гущу SoC. Поэтому нам нужно хорошенько подумать о безопасности GPU, особенно в таком контексте, когда GPU теперь потенциально имеет доступ и к памяти CPU."
Исследователи также предупреждают, что проблемы безопасности памяти GPU и уязвимости, подобные LeftoverLocals, станут еще более актуальными, поскольку виртуализация GPU становится все более распространенной в публичной облачной инфраструктуре и все больше приложений ИИ переходят от локальной реализации к работе в общих облачных средах. Без существенных реформ в области конфиденциальности памяти GPU эти переходы могут создать благодатную почву для злоумышленников, которые смогут легко перехватывать большие объемы данных у множества целей в ходе одной атаки.
"Я думаю, мы столкнулись с этим в нужное время", - говорит Соренсен. "Многие крупные облачные провайдеры не позволяют нескольким пользователям работать на одной GPU-машине, но, скорее всего, в будущем это изменится. Поэтому я думаю, что нам просто нужно быть более внимательными к этому и иметь больше моделей безопасности для графических процессоров и их развертывания. Это должно вдохновить людей на то, чтобы сказать: "Нам нужно быть осторожными, когда мы это делаем""
.