Видеокарту Nvidia A6000 впервые успешно атаковали

Ученые из Университета Джорджии и Техасского университета (США) провели первую успешную атаку на видеокарту – Nvidia A6000 с памятью GDDR6. Они показали, что вызванные ошибки в памяти могут нарушить работу популярных нейросетевых моделей, снизив точность их предсказаний с 80% до менее чем 0,5% всего за восемь попыток атак.

В представленном инциденте применялся эффект Rowhammer: при нем интенсивное считывание данных из одной строки памяти приводит к искажению битов в соседних строках. До недавнего времени считалось, что видеопамять GPU – особенно в мощных моделях вроде A6000 – не уязвима к подобным манипуляциям. Однако новая методика, получившая название GPUHammer, обходит встроенные защитные механизмы и позволяет добиться ошибок, нацеливаясь на весовые коэффициенты нейросетей, хранящиеся в видеопамяти.

Современные микросхемы памяти настолько плотные, что многократное чтение или запись одной строки может вызывать электрические помехи, которые меняют биты в соседних строках. Этим замененным битом может быть что угодно – число, команда или часть веса нейронной сети.

Чтобы провести атаку, исследователи использовали особенности многопользовательского режима работы видеокарт в облачных средах. Благодаря точному контролю над размещением данных в памяти, злоумышленник может разместить свои данные рядом с ячейками другой программы, например, библиотеки PyTorch. Это позволяет намеренно вызвать сбои в обученной модели, не работая с ее кодом как таковым.

Напомним, что более десяти крупнейших ИТ-компаний мира создали Коалицию на безопасный искусственный интеллект (англ. Coalition for Secure AI, CoSAI). В число участников и спонсоров CoSAI вошли Nvidia, Microsoft, IBM, Google, Intel, Cisco, OpenAI, PayPal, Amazon, Atrophic, Chainguard, Cohere, GenLab, и Wiz.