NVIDIA liderem AI, ale nie bez poważnych luk w zabezpieczeniach

Jednym z kluczowych powodów, dla których NVIDIA odniosła sukces na rynku AI jest architektura produkowanych przez nią procesorów graficznych (GPU).

Sztuczna inteligencja do poprawnego funkcjonowania wymaga ogromnej mocy obliczeniowej. W przeciwieństwie do klasycznych procesorów (CPU), które są zoptymalizowane do wykonywania zadań sekwencyjnych, GPU mogą wykonywać duże ilości prostych obliczeń jednocześnie. NVIDIA była pionierem w ich adaptacji do celów innych niż grafika komputerowa, co umożliwiło wykorzystanie do uczenia maszynowego.

Ekosystem NVIDIA

Oprócz wydajnego sprzętu, NVIDIA wprowadziła własną platformę CUDA (Compute Unified Device Architecture), która umożliwia pisanie kodu wykonywanego bezpośrednio na GPU. Dzięki CUDA można znacznie szybciej rozwijać rozwiązania AI i przetwarzać dane na niespotykaną wcześniej skalę.

NVIDIA stworzyła również cały ekosystem narzędzi i platform dedykowanych różnym obszarom AI. Wśród nich znajdują się:

• TensorRT – usprawnianie i przyspieszanie działania sztucznej inteligencji podczas udzielania odpowiedzi,
• NVIDIA NeMo – framework do trenowania i dostosowywania dużych modeli językowych (LLM),
• NVIDIA Riva – platforma do przetwarzania mowy,
• NVIDIA AI Enterprise – zestaw narzędzi i usług do wdrożeń AI w firmach.

Nieidealne systemy

Zespół Wiz zidentyfikował kluczową podatność NVIDIAScape.

NVIDIAScape to bardzo poważna luka w zabezpieczeniach (oceniona na 9/10 w skali ryzyka), która została znaleziona w popularnym narzędziu NVIDIA Container Toolkit. To oprogramowanie pozwala uruchamiać kontenery (czyli odizolowane środowiska, np. w Dockerze) z dostępem do kart graficznych NVIDIA, co jest powszechną praktyką w projektach wykorzystujących sztuczną inteligencję.

Problem polega na tym, że jeden z komponentów tego narzędzia, odpowiedzialny za tworzenie kontenerów, przekazuje do nich dane bez żadnej kontroli. To pozwala atakującemu „przemycić” złośliwą bibliotekę, która zostanie uruchomiona nie tylko w kontenerze, ale także na poziomie całego systemu poza kontenerem. Wystarczy przygotować odpowiedni kontener, uruchomić go na czyimś serwerze i można uzyskać pełną kontrolę nad jego systemem.

GPUHammer

Badania przeprowadzone przez Uniwersytet w Toronto ujawniły, że pamięć GDDR6 stosowana w kartach graficznych NVIDIA jest podatna na atak typu Rowhammer, nazwany w tym kontekście GPUHammer. To pierwszy znany przypadek skutecznego przeprowadzenia Rowhammera na GPU. Wcześniej tego typu ataki dotyczyły wyłącznie pamięci RAM w komputerach CPU.

Atak polega na bardzo szybkim i wielokrotnym odczytywaniu danych z wybranych miejsc w pamięci, co powoduje zakłócenia. W testach na kartach graficznych, takich jak NVIDIA RTX A6000, udało się w ten sposób zmienić dane zapisane w pamięci GDDR6, bez potrzeby łamania jakichkolwiek zabezpieczeń systemu. Co to oznacza?

Wystarczy, że zmieni się jeden mały bit w pamięci, a model sztucznej inteligencji może zupełnie się „pogubić”. W jednym z eksperymentów jego skuteczność spadła z około 80% do… 0,1%.

Jedynym skutecznym środkiem obrony, zalecanym przez badaczy i producentów, jest włączenie ECC (Error Correcting Code), czyli mechanizmu korekcji błędów, który potrafi wykryć i naprawić pojedyncze przeskoki bitowe. Choć wiąże się to z około 10% spadkiem wydajności i zmniejszeniem dostępnej pamięci VRAM, znacząco podnosi poziom bezpieczeństwa.

Nowe generacje GPU będą prawdopodobnie zawierać takie zabezpieczenia domyślnie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].