Эксперты по кибербезопасности компании Trail of Bits обнаружили уязвимость LeftoverLocals, которая затрагивает графические процессоры AMD, Apple и Qualcomm, позволяя злоумышленникам перехватывать данные из памяти при взаимодействии жертвы и запущенной локально модели искусственного интеллекта.
Разработчики центральных процессоров потратили годы на совершенствование средств их защиты и предотвращение утечек данных из памяти, даже когда в приоритете оказывается высокая производительность. Графические процессоры первоначально проектировались для собственно графических приложений без учёта конфиденциальности данных. Но сегодня они используются в качестве ускорителей работы алгоритмов ИИ, и уязвимости графических процессоров становятся всё более актуальной проблемой.
Для эксплуатации уязвимости LeftoverLocals злоумышленнику необходимо получить некоторый доступ к операционной системе на целевом устройстве. Современные рабочие станции и серверы проектируются для совместной работы и совместного хранения данных нескольких пользователей — они предусматривают средства их изоляции друг от друга, но атака LeftoverLocals разрушает эти барьеры. В результате хакер получает возможность извлекать данные, к которым у него не должно быть доступа, из локальной памяти, выделенной для графического процессора.
Авторы исследования продемонстрировали, как работает эта атака — они локально запустили большую языковую модель LLaMA с 7 млрд параметров, использовав видеокарту AMD Radeon RX 7900 XT, задали ИИ вопрос и «подслушали» ответ. Полученные ими данные почти полностью совпали с действительным ответом системы. Для осуществления атаки потребовались менее десяти строк кода.
Минувшим летом они протестировали 11 чипов от 7 производителей графических процессоров в нескольких программных средах. Уязвимость LeftoverLocals обнаружилась в графике AMD, Apple и Qualcomm; впоследствии Google подтвердила её наличие в некоторых моделях от Imagination; наличие уязвимости для графики NVIDIA, Intel и Arm подтвердить не удалось. Представитель Apple признал проблему и сообщил, что уязвимость была закрыта для чипов M3 и A17 — вероятно, имеется в виду, что более ранние модели так и останутся уязвимыми. В Qualcomm сообщили Wired, что компания находится «в процессе» передачи обновлений безопасности своим клиентам; по сведениям Trail of Bits, компания выпустила все необходимые обновления прошивок. AMD сообщила на своём сайте, что в марте выйдет обновление ПО, которое поможет «выборочно смягчить последствия» LeftoverLocals. Google доложила, что выпустила обновление ChromeOS для устройств на чипах AMD и Qualcomm.
Тем не менее, в Trail of Bits предупреждают, что конечным пользователям может быть непросто получить все эти обновлённые варианты ПО. Производители чипов выпускают новые версии прошивок, а выпускающие ПК и комплектующие компании внедряют их в свежие версии собственного ПО, которое впоследствии передаётся конечным владельцам оборудования. Учитывая большое число игроков на мировом технологическом рынке, координировать действия всех сторон непросто. Для эксплуатации LeftoverLocals требуется определённый уровень доступа к целевым устройствам, но современные взломы осуществляются через целые цепочки уязвимостей, и данная может быть лишь одним из звеньев.
С другой стороны, исследователи установили, что организация атаки через LeftoverLocals представляется маловероятной в сценариях облачных провайдеров, мобильных приложений и взломов через веб-ресурсы. Но производителям графических процессоров придётся привыкать к мысли, что и им придётся учитывать фактор конфиденциальности данных, поскольку видеокарты сейчас используются не только для обработки графики.