Эксперты обнаружили новую атаку, которая отравляет ИИ-модели на видеокартах NVIDIA с памятью GDDR6
Группа исследователей из Университета Торонто выявила новую уязвимость под названием GPUHammer, позволяющую изменять биты в памяти графических процессоров NVIDIA без прямого доступа к коду или входным данным. Атака способна критически нарушить работу ИИ-моделей, снизив их точность с 80% до менее чем 1% путем изменения всего одного бита в памяти.
GPUHammer представляет собой GPU-версию известной уязвимости Rowhammer, ранее обнаруженной в процессорах и оперативной памяти. Суть атаки заключается в многократном обращении к определенным ячейкам памяти, что вызывает электрические помехи и приводит к изменению битов в соседних ячейках. Исследователи успешно протестировали атаку на реальной видеокарте NVIDIA RTX A6000, доказав, что проблема выходит за рамки теоретической.
До недавнего времени уязвимость Rowhammer считалась проблемой только для системной памяти DDR4, однако GPUHammer доказывает, что она актуальна и для видеопамяти GDDR6, используемой во многих современных картах NVIDIA, особенно в системах для работы с ИИ и профессиональных рабочих станциях.
Исследователи продемонстрировали, что даже при наличии некоторых защитных механизмов им удалось вызвать множественные изменения битов в нескольких банках памяти. В одном из случаев это полностью нарушило работу обученной ИИ-модели, сделав её фактически бесполезной.
Особенно тревожным аспектом GPUHammer стало то то, что для атаки не требуется доступ к данным жертвы. Злоумышленнику достаточно разделять тот же GPU в облачной среде или на сервере, чтобы потенциально вмешаться в рабочие процессы.
NVIDIA уже отреагировала на обнаружение уязвимости, опубликовав полный список затронутых моделей и рекомендации по защите. Компания советует включить технологию ECC (Error Correction Code) на поддерживающих её видеокартах. ECC добавляет избыточность в память, что позволяет обнаруживать и исправлять ошибки вроде изменения битов.
Важно отметить, что включение ECC сопровождается небольшими компромиссами: примерно на 10% снижается производительность в задачах машинного обучения и на 6-6,5% уменьшается доступный объем видеопамяти. Однако, для серьезной работы с ИИ эта жертва может быть оправдана.
Для активации ECC можно использовать командную строку NVIDIA:
nvidia-smi -e 1
А проверить, активен ли ECC, можно командой:
nvidia-smi -q | grep ECC
Рядовым пользователям опасаться особо нечего – атака такого типа не нацелена на индивидуальных геймеров или домашние ПК. Она более актуальна для сред с общими GPU, таких как облачные игровые серверы, кластеры для обучения ИИ или VDI-установки, где несколько пользователей запускают задачи на одном и том же оборудовании.
Новейшие GPU, такие как RTX 5090 и H100, имеют встроенную защиту ECC прямо на чипе, которая автоматически справляется с этой проблемой без необходимости настройки пользователем.
Атаки вроде GPUHammer опасны тем, что они не просто вызывают сбои системы или глюки – они нарушают целостность самого ИИ, влияя на то, как модели себя ведут или принимают решения. А поскольку всё происходит на аппаратном уровне, эти изменения практически невидимы, если вы не знаете, что именно искать.