Команда исследователей из Университета Торонто обнаружила новую атаку под названием GPUHammer, которая может инвертировать биты в памяти графических процессоров Nvidia, незаметно повреждая модели ИИ и нанося серьёзный ущерб, не затрагивая при этом сам код или входные данные. К счастью, Nvidia уже опередила потенциальных злоумышленников, которые могли бы воспользоваться этой уязвимостью, и выпустила рекомендации по снижению риска, связанного с этой проблемой.
Исследователи продемонстрировали, как GPUHammer может снизить точность модели ИИ с 80 % до менее 1 % — всего лишь инвертируя один бит в памяти. Они протестировали уязвимость на реальной профессиональной видеокарте Nvidia RTX A6000, используя технику многократного инжектирования ячеек памяти до тех пор, пока одна из соседних ячеек не инвертируется, что нарушает целостность хранящихся в ней данных.
GPUHammer — это версия известной аппаратной уязвимости Rowhammer, ориентированная на графические процессоры. Это явление уже давно существует в мире процессоров и оперативной памяти. Современные микросхемы памяти настолько плотно упакованы, что многократное чтение или запись одной строки может вызвать электрические помехи, которые переворачивают (инвертируют) биты в соседних строках. Этим перевернутым битом может быть что угодно — число, команда или часть веса нейронной сети.
До сих пор эта уязвимость в основном касалась системной памяти DDR4, но GPUHammer продемонстрировала свою эффективность с видеопамятью GDDR6, которая используется во многих современных видеокартах Nvidia. Это серьёзная причина для беспокойства, по крайней мере, в определённых ситуациях. Исследователи показали, что даже при наличии некоторых мер защиты они могут вызывать множественные перевороты битов в нескольких банках памяти. В одном случае это полностью сломало обученную модель ИИ, сделав её практически бесполезной. Примечательно, что для этого даже не требуется доступ к данным. Злоумышленнику достаточно просто использовать тот же графический процессор в облачной среде или на сервере, и он потенциально может вмешиваться в вашу рабочую нагрузку по своему усмотрению.
Исследователи протестировали метод атаки на карте RTX A6000, но риску подвержен широкий спектр графических процессоров Ampere, Ada, Hopper и Turing, особенно тех, что используются в рабочих станциях и серверах. Nvidia опубликовала полный список уязвимых моделей ускорителей и рекомендует использовать функцию коррекции ошибок ECC для решения большинства из них. При этом новые графические процессоры, такие как RTX 5090 и серверные H100, имеют встроенную ECC непосредственно на GPU, и она работает автоматически — настройка пользователем не требуется.
Данная уязвимость не затрагивает обычных пользователей домашних ПК. Она актуальна для общих сред графических процессоров, таких как облачные игровые серверы, кластеры обучения ИИ или конфигурации VDI, где несколько пользователей запускают рабочие нагрузки на одном оборудовании. Тем не менее угроза реальна и должна быть серьезно воспринята всей индустрией, особенно с учётом того, что всё больше игр, приложений и сервисов начинают в той или иной мере использовать ИИ.
Рекомендация Nvidia сводится к использованию функции ECC. Её можно включить с помощью командной строки Nvidia, введя команду nvidia-smi -e 1. Проверить активность функции ECC можно с помощью команды nvidia-smi -q | grep ECC. Следует помнить, что включение ECC имеет небольшой недостаток — снижение производительности примерно на 10 % при выполнении задач машинного обучения и сокращение объёма используемой видеопамяти примерно на 6–6,5 %. Но для серьёзной работы с ИИ это разумный компромисс.
Атаки, подобные GPUHammer, не просто приводят к сбоям в работе систем или вызывают сбои. Они нарушают целостность самого ИИ, влияя на поведение моделей или принятие решений. И поскольку всё это происходит на аппаратном уровне, эти изменения практически незаметны, особенно если не знать, что именно и где искать. В регулируемых отраслях, таких как здравоохранение, финансы или автономный транспорт, это может привести к серьёзным проблемам — неверным решениям, нарушениям безопасности и даже юридическим последствиям.
Комментарии
Алексей Баталов!
:)) "И на старуху бывает проруха" - запамятовал - давно это было, а память то без ECC. :))
Попробуйте в качестве профилактики ввести команду nvidia-smi -e
Сломается вот эта штука - шкатулка не издаст ни звука!
а что, контроль четности попал под нож оптимизаторов иффиктивных мениджоров?
Он сильно жрет ресурсы. Плюс, смысл есть только в редком случае когда арендуется часть GPU
А его в видимокартах изначально и не было. До относительно недавних пор нарушение консистентности хранимых в памяти видеоадаптера данных вообще не считалось проблемой.
Его в видеопамяти и не было.
До эры AI в памяти видеокарты хранились 3Д-можели и текстуры для них. Даже если там побьется что-то - ну, подумаешь, будет немного мусора в текстурах, кто заметит?
ИИ диагнозы не ставит и не будет ставить, это вспомогательный, служебный механизм для принятия решений человеком (как калькулятор). ИНС лишь может дать наименее вредные подсказки, которые будучи все неправильные имеют меньшую ошибку, чем остальные. Как вариант, генеративные модели (бям) лишь продвинутые поисковики
На том же принципе основаны квантовые вычисления
https://www.ixbt.com/news/2023/11/07/v-moskovskih-poliklinikah-itogovyj-diagnoz-teper-stavit-ii.html
рад за вас, москвичи
Там написано корректно "с помощью". Что Вы хотели этой ссылкой сказать? Заголовок - кликбейт СМИ, сегодня без них никуда. Или Вы сказки буквально понимаете. Говорливый Колобок и пр.?
пока что окончательное решение вроде бы за врачом
вот только как долго это продлится?
За наш век ничего не изменится. Диагноз ведь только часть процесса. Назначение лечения, выписывание лекарств и процедур всяко дело специалиста.
Про будущее как всегда человек мало осведомлён. Даже на короткое время. Когда количество ошибок ИНС и врача будет сопоставимо никто не может прогнозировать, к тому же всегда есть (и останется) возможность получить диагноз альтернативным образом. Плюс системы контроля (ага, аналог ecc). Врачи собирают консилиум, дабы повысить шансы
не ИИ медикам нужна, а экспертная система
та ошибок не допустит
Путь заигрывания с терминами - путь в никуда. Сегодня ии - популярная тема. Под неё выбиваются бюджеты, формируются курсы обучения и генерится контент. Что Вам мешает понимать цитируемое не как написано в СМИ, а как Вам более понятно.
Банальностью страдаете или балуетесь? Ошибки будут всегда. Причины, думаю, перечислять не стоит
ЭС, это тот же инс, но с меньшим количеством ошибок (статистически). Точнее, большим числом совпадения (вероятностью) с правильным ответом
Это вы чиновникам и менеджерам расскажите. Они часто не специалисты, часто не консультируются у специалистов, но именно они принимают решения. Учитывая количество верующих во всемогучий-безошибочный-идеальный ИИ, среди принимающих решения не может не быть таких.
Случаи, когда у людей возникали проблемы из-за того, что было решено полностью и бездумно полагаться на решения ИИ, уже описаны.
Зачем им что-то рассказывать. Каждый сам себе злобный буратина. Есть мозги, пущай учатся. Нет, объяснять бесполезно
Была у меня версия ХР на диске, что раз в месяц уничтожала одну из четырех линеек памяти. Мучился долго. Потеря двух линеек. С другой версией ХР - до сих пор всё ОК.
у тебя до сих пор ХР?
Два компа и три ноута, два планшета. С какой целью вопрос??
ХР на планшете ???
камрад, преклоняюсь!
Сфероконная уязвимость работающая с DDR6, а не HBM и требующая облачного разделения GPU.
Не затрагивая сам код и данные...
Божьим облаком детей пугают, чтоб вдоль лавки всю жизнь лежали на печи.
А ему и не надо верить. Буквально вчера искал состав циакрилатного клея определённой марки (надо было выяснить водостойкий он или нет). Так ИИ на голубом глазу мне выдал состав клея ПВА за состав циакрилатного.