數(shù)百萬(wàn)蘋(píng)果、AMD和高通GPU被發(fā)現(xiàn)漏洞：或暴露AI大模型數(shù)據(jù)！

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2024-01-18 18:19:52   瀏覽：7263次  

芯東西1月18日消息，據(jù)Trail of Bits披露，蘋(píng)果、AMD、高通等多個(gè)品牌和型號(hào)的主流GPU被發(fā)現(xiàn)重大漏洞。這個(gè)漏洞可能會(huì)讓攻擊者能從GPU內(nèi)存中竊取大量數(shù)據(jù)，影響到在這些GPU上運(yùn)行的大語(yǔ)言模型和機(jī)器學(xué)習(xí)模型。

▲研究人員測(cè)試時(shí)在一些設(shè)備上發(fā)現(xiàn)LeftoverLocals漏洞

問(wèn)題出在GPU架構(gòu)設(shè)計(jì)上。這么多年來(lái)，GPU設(shè)計(jì)的第一要?jiǎng)?wù)是優(yōu)化圖形處理能力，并沒(méi)有把數(shù)據(jù)隱私放在更優(yōu)先的位置。而生成式AI等AI應(yīng)用的日益普及，促使GPU得到更廣泛的應(yīng)用，也使得解決GPU漏洞問(wèn)題越來(lái)越緊迫。

在現(xiàn)代電腦和服務(wù)器中，多個(gè)用戶可以共享相同的處理資源，無(wú)需訪問(wèn)彼此的數(shù)據(jù)。但漏洞LeftoverLocals的襲擊打破了這些墻。黑客在目標(biāo)設(shè)備上構(gòu)建一定數(shù)量的操作系統(tǒng)訪問(wèn)權(quán)限后，即可利用該漏洞，從易受攻擊的GPU的本地內(nèi)存中泄露他們不應(yīng)該訪問(wèn)的數(shù)據(jù)，暴露任何碰巧在那里的數(shù)據(jù)，這可能包括大語(yǔ)言模型生成的查詢和響應(yīng)以及驅(qū)動(dòng)響應(yīng)的權(quán)重。

研究人員演示了一次攻擊，左圖顯示的目標(biāo)要求開(kāi)源大語(yǔ)言模型Llama.cpp提供有關(guān)《連線》雜志的詳細(xì)信息。幾秒鐘內(nèi)，右圖顯示的攻擊者設(shè)備通過(guò)對(duì)GPU內(nèi)存進(jìn)行LeftoverLocals攻擊，來(lái)收集大語(yǔ)言模型提供的大部分響應(yīng)。而研究人員創(chuàng)建的攻擊程序，只用了不到10行代碼。

▲使用LeftoverLocals實(shí)現(xiàn)對(duì)交互式大語(yǔ)言模型聊天對(duì)話的攻擊。大語(yǔ)言模型用戶（左）查詢大語(yǔ)言模型，攻擊者（右）可以偵聽(tīng)大語(yǔ)言模型響應(yīng)。

LeftoverLocals漏洞在AMD Radeon RX 7900 XT上，每一次GPU調(diào)用的剩余時(shí)間可能會(huì)泄漏約5.5MB，在llama.cpp上運(yùn)行7B模型時(shí)，每次大語(yǔ)言模型查詢總共會(huì)泄漏約181MB。這些信息足以高精度地重建大語(yǔ)言模型響應(yīng)。

該漏洞突出了機(jī)器學(xué)習(xí)開(kāi)發(fā)堆棧的許多部分具有未知的安全風(fēng)險(xiǎn)，并且尚未經(jīng)過(guò)安全專家的嚴(yán)格審查。

▲偵聽(tīng)器和寫(xiě)入器交互過(guò)程，以及如果沒(méi)有清除本地內(nèi)存，偵聽(tīng)器是如何觀察寫(xiě)入器的值的。

去年夏天，研究人員測(cè)試了來(lái)自7家GPU制造商的11款芯片和多個(gè)相應(yīng)的編程框架，發(fā)現(xiàn)蘋(píng)果、AMD和高通的GPU均存在LeleftoverLocals漏洞，并聯(lián)合啟動(dòng)了對(duì)該漏洞的協(xié)調(diào)披露。

蘋(píng)果、高通和AMD都證實(shí)了它們受到影響。截至Trail of Bits發(fā)文，其現(xiàn)狀如下：

蘋(píng)果：直到2024年1月13日才給予回復(fù)。經(jīng)重新測(cè)試，一些設(shè)備的漏洞似乎已被修補(bǔ)，如第三代iPad Air（A12），但該問(wèn)題仍存在于蘋(píng)果MacBook Air（M2）上。新發(fā)布的蘋(píng)果iPhone 15似乎沒(méi)像以前版本那樣受影響，蘋(píng)果已確認(rèn)A17和M3芯片包含修復(fù)程序，但尚未收到在其設(shè)備上部署特定補(bǔ)丁的通知。

AMD：AMD確認(rèn)設(shè)備仍受影響，在繼續(xù)調(diào)查潛在的緩解計(jì)劃。AMD已經(jīng)就此漏洞問(wèn)題發(fā)表一份安全公告聲明，詳細(xì)列出受影響的產(chǎn)品清單，并說(shuō)明其為L(zhǎng)eftoverLocals提供修復(fù)的計(jì)劃。

高通：高通固件v2.07有一個(gè)補(bǔ)丁，針對(duì)某些設(shè)備的LeleftoverLocals。但目前可能還有其他設(shè)備受到影響。

這意味著LeleftoverLocals漏洞目前存在于數(shù)百萬(wàn)臺(tái)依賴前幾代蘋(píng)果芯片的現(xiàn)有iPhone、iPad和MacBook中。

研究人員未發(fā)現(xiàn)英偉達(dá)、英特爾或Arm GPU包含LeftoverLocals漏洞的證據(jù)，也沒(méi)在他們測(cè)試的Imagination GPU中發(fā)現(xiàn)相關(guān)漏洞。但谷歌已確認(rèn)一些來(lái)自該公司的GPU確實(shí)受到影響。Imagination在其最新DDK版本23.3中發(fā)布了一個(gè)修復(fù)程序，于2023年12月提供給客戶。

谷歌在一份聲明中稱它“意識(shí)到這個(gè)影響AMD、蘋(píng)果和高通GPU的漏洞”，“已發(fā)布了針對(duì)受影響的AMD和高通GPU的ChromeOS設(shè)備的修復(fù)程序”。

英偉達(dá)確認(rèn)他們的設(shè)備目前沒(méi)有受到影響，一個(gè)可能的原因是研究人員之前在英偉達(dá)GPU上探索過(guò)各種內(nèi)存漏洞，是他們?cè)缦纫庾R(shí)到這類問(wèn)題。

Trail of Bits發(fā)布了一個(gè)視頻：研究人員在不同平臺(tái)上使用不同應(yīng)用程序的localleftovers不同接口和示例，包括大語(yǔ)言模型PoC攻擊。

通過(guò)恢復(fù)本地內(nèi)存，研究人員構(gòu)建了一個(gè)PoC，攻擊者可以跨進(jìn)程或容器邊界監(jiān)聽(tīng)另一個(gè)用戶的交互式大語(yǔ)言模型對(duì)話（例如llama.cpp）。

▲PoC利用的步驟，攻擊者進(jìn)程可以發(fā)現(xiàn)數(shù)據(jù)，以高保真度監(jiān)聽(tīng)另一個(gè)用戶的交互式大語(yǔ)言模型對(duì)話

Trail of Bits研究人員警告說(shuō)，讓這些各種修復(fù)方法激增并不容易。即便GPU制造商發(fā)布可用的補(bǔ)丁，將其芯片整合到PC和其他設(shè)備的制造商也必須打包并將保護(hù)傳遞給最終用戶。而全球科技生態(tài)系統(tǒng)有如此多的參與者，很難協(xié)調(diào)各方。

雖然利用該漏洞需要對(duì)目標(biāo)設(shè)備進(jìn)行一定數(shù)量的現(xiàn)有訪問(wèn)，但潛在影響是顯著的。攻擊者通常通過(guò)將多個(gè)漏洞鏈接在一起來(lái)執(zhí)行黑客攻擊。此外，對(duì)于許多常見(jiàn)類型的數(shù)字攻擊來(lái)說(shuō)，建立對(duì)設(shè)備的“初始訪問(wèn)”已經(jīng)是必要的。

Trail of Bits研究人員認(rèn)為，社區(qū)必須盡力加強(qiáng)GPU系統(tǒng)堆棧和相應(yīng)的規(guī)格，嚴(yán)格測(cè)試這些硅谷，滿足不同應(yīng)用領(lǐng)域的安全要求，并對(duì)各種新式AI芯片進(jìn)行嚴(yán)格的安全分析。

鑒于GPU的多樣性及其在實(shí)現(xiàn)AI應(yīng)用方面的關(guān)鍵作用，這些設(shè)備及其生態(tài)系統(tǒng)需要：1）一個(gè)詳細(xì)的威脅模型，考慮到GPU上處理的各類數(shù)據(jù)以及這些數(shù)據(jù)可能如何被破壞；2）探索GPU執(zhí)行堆棧，以確定應(yīng)在何處以及如何指定和實(shí)現(xiàn)GPU安全屬性；3）重要的測(cè)試和審計(jì)，以加強(qiáng)GPU生態(tài)系統(tǒng)。

▲LeftoverLocals logo：你的機(jī)器學(xué)習(xí)模型留下了哪些剩余數(shù)據(jù)供其他用戶竊取？

研究人員還警告說(shuō)，隨著GPU虛擬化在公共云基礎(chǔ)設(shè)施中變得越來(lái)越普遍，以及越來(lái)越多的AI應(yīng)用程序從本地實(shí)施轉(zhuǎn)向在共享云環(huán)境中運(yùn)行，GPU內(nèi)存安全問(wèn)題和漏洞將變得更加嚴(yán)重。如果不對(duì)GPU內(nèi)存隱私進(jìn)行重大改革，這些轉(zhuǎn)換可能會(huì)為攻擊者創(chuàng)造肥沃的土壤，讓他們?cè)谝淮喂�擊中輕松從眾多目標(biāo)中獲取大量數(shù)據(jù)。

博客原文：https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

來(lái)源：Trail of Bits，《連線》

贊助本站