Специалисты из компании Trail of Bits рассказали об атаке, позволяющей через уязвимость некоторых графических процессоров украсть локально конфиденциальную информацию от ИИ и других приложений. Trail of Bits заявила, что показанная ими атаки будет маловероятной через облачных провайдеров, мобильные приложения и веб‑ресурсы. Исследователи опубликовали технические подробности с описанием атаки. CERT уже выпустила рекомендации по этой уязвимости. Исследования показали, что атаке могу быть подвержены графические процессоры Apple, AMD, Qualcomm и некоторые решения Imagination Technologies, а вот GPU от компаний Arm, Intel и Nvidia — нет.
Уязвимость CVE-2023–4969 или LeftoverLocals через ПО больших языковых моделей (LLM) и процессов машинного обучения (ML) для GPU‑процессоров позволяет злоумышленнику локально получить доступ к информации из этих приложений. Для этого злоумышленнику нужно запустить приложение не требующие повышения привилегий для вычислений на графическом процессоре (например, OpenCL, Vulkan, Metal и так далее) и прочитать данные, оставленные пользователем в локальной памяти графического процессора.
По словам исследователей ИБ, выявленная у некоторых производителей графических процессоров уязвимость связана с плохой изоляцией очистки локальной памяти после выполнения процессов на GPU. Для получения информации хакер может считать данные через дамп неинициализированной локальной памяти с использованием кода.
Авторы исследования продемонстрировали, как работает атака. Для этого они локально запустили большую языковую модель LLaMA с 7 млрд параметров на видеокарте AMD Radeon RX 7900 XT. Условный пользователь задал вопрос ИИ и получил ответа, а условный взломщик смог прочитать полученный пользователем ответ от ИИ.
Исследователи из Trail of Bits в середине 2023 года протестировали 11 чипов от 7 производителей графических процессоров. После предоставления результатов исследования, Google подтвердила наличие такой уязвимости в некоторых моделях от Imagination и выпустила обновление ChromeOS для устройств на чипах AMD и Qualcomm. Также уязвимость признала Apple и сообщила, что закрыли проблему для чипов M3 и A17. Что будет с более ранними моделями чипов от Apple пока неизвестно. Qualcomm заявила, что находится в процессе передачи обновлений безопасности своим клиентам и выпустила все необходимые обновления прошивок. AMD также сообщила на своём сайте, что в марте 2024 года выйдет обновление ПО, выборочно смягчающее последствия CVE-2023–4969.
Источник: habr.com
