For et par dage siden blev der offentliggjort oplysninger fra et forskerhold om udviklingen af første Rowhammer-angreb at er med succes blevet dirigeret til la GDDR6-videohukommelse af en GPU, specifikt en NVIDIA A6000.
Teknikken, døbt GPUHammer, tillader manipulation af individuelle bits i GPU'ens DRAM, hvilket drastisk forringer nøjagtigheden af maskinlæringsmodeller ved at ændre blot en enkelt bit af deres parametre. Disse bit-flips giver en ondsindet GPU-bruger mulighed for at manipulere en anden brugers GPU-data i delte, tidsopdelte miljøer.
Indtil nu, Det blev anset for upraktisk at anvende Rowhammer på videohukommelser. på grund af adskillige tekniske begrænsninger. Det fysiske layout af hukommelsesceller i GDDR-chips er vanskeligt at kortlægge, adgangslatenserne er op til fire gange langsommere end i konventionel DRAM, og opdateringshastighederne er betydeligt højere. Derudover er der proprietære beskyttelsesmekanismer mod for tidligt opladningstab, hvis reverse engineering krævede specialudstyr.
For at overvinde disse hindringer, Forskere udviklede en ny reverse engineering-teknik målrettet GDDR DRAMVed hjælp af lavniveau-CUDA-kode udførte de angrebet gennem specifikke optimeringer, der intensiverede adgangen til bestemte hukommelsesceller og skabte betingelser, der var gunstige for bitmanipulation. Nøglen til succes lå i at opnå en højt organiseret parallel databehandling, der fungerede som en forstærker af trykket på tilstødende celler.
Hvordan fungerer angrebet?
Angrebet udnytter en fysisk svaghed i DRAM'en, hvor intensiv adgang til en hukommelsesrække (kendt som "hammering") kan forårsage ændringer i tilstødende rækkerSelvom denne sårbarhed blev identificeret i 2014 og grundigt undersøgt i CPU DDR-hukommelse, har det indtil videre været en udfordring at portere den til GPU'er på grund af:
- Den høje adgangslatens for GDDR6 (op til 4 gange højere end DDR4).
- Kompleksiteten i den fysiske allokering af hukommelse.
- Tilstedeværelsen af proprietære og dårligt dokumenterede afhjælpningsforanstaltninger, såsom TRR.
Rowhammer er en hardwaresårbarhed, hvor hurtig aktivering af én række hukommelse introducerer bit-flips i tilstødende rækker. Siden 2014 er denne sårbarhed blevet grundigt undersøgt i CPU'er og CPU-baseret hukommelse såsom DDR3, DDR4 og LPDDR4. Men da kritiske AI- og maskinlæringsarbejdsbelastninger nu kører på separate GPU'er i skyen, er det afgørende at vurdere GPU-hukommelsens sårbarhed over for Rowhammer-angreb.
Trods disse forhindringer, Forskere formåede at anvende reverse engineering om virtuel/fysisk hukommelsesallokering i CUDA, De udviklede en metode til at identificere specifikke DRAM-hukommelsesbanker og optimeret parallel adgang ved hjælp af flere tråde og warps, hvilket maksimerer hammerhastigheden uden at forårsage yderligere latenstid.
Proof of concept viste, hvordan en enkelt bit ændring i vægte af dybe neurale netværk (DNN), specifikt i FP16-eksponenter, kan forringe den øverste nøjagtighed af billedklassificeringsmodeller på ImageNet fra 1 % til 80 %. Dette fund er alarmerende for datacentre og cloudtjenester, der kører AI-arbejdsbelastninger i delte miljøer med GPU'er.
Afbødninger og begrænsninger
NVIDIA har bekræftet sårbarheden og anbefaler at aktivere ECC-understøttelse. (Fejlrettelseskode) ved hjælp af kommandoen nvidia-smi -e 1. Selvom Denne foranstaltning kan rette fejl enkeltbit, Dette indebærer et ydeevnetab på op til 10%. og en reduktion på 6,25% i tilgængelig hukommelse. Det beskytter heller ikke mod fremtidige angreb, der involverer flere bit-flips.
Vi bekræftede Rowhammer-bitudsving på NVIDIA A6000 GPU'er med GDDR6-hukommelse. Andre GDDR6 GPU'er, såsom RTX 3080, udviste ikke bitudsving i vores test, muligvis på grund af variationer i DRAM-leverandør, chip-karakteristika eller driftsforhold såsom temperatur. Vi observerede heller ingen udsving på en A100 GPU med HBM-hukommelse.
Holdet fremhæver, at GPUHammer er i øjeblikket kun blevet verificeret på A6000 GPU med GDDR6, og ikke på modeller som A100 (HBM) eller RTX 3080. Da dette er et udvideligt angreb, opfordres andre forskere dog til at replikere og udvide analysen på forskellige GPU-arkitekturer og -modeller.
Endelig, hvis du er interesseret i at lære mere om det, kan du konsultere detaljerne i følgende link.