Pirms dažām dienām pētnieku komanda publicēja informāciju par tā izstrādi. pirmais Rowhammer uzbrukums ka ir veiksmīgi novirzīts uz la GDDR6 video atmiņa GPU, īpaši NVIDIA A6000.
Tehnika, nodēvēts par GPUHammer, ļauj manipulēt ar atsevišķiem GPU DRAM bitiem, krasi pazeminot mašīnmācīšanās modeļu precizitāti, mainot tikai vienu to parametru bitu. Šīs bitu maiņas ļauj ļaunprātīgam GPU lietotājam manipulēt ar cita lietotāja GPU datiem koplietotās, laika ziņā sadalītās vidēs.
Līdz šim Rowhammer piemērošana video atmiņām tika uzskatīta par nepraktisku vairāku tehnisku ierobežojumu dēļ. GDDR mikroshēmu atmiņas šūnu fizisko izkārtojumu ir grūti kartēt, piekļuves latentums ir līdz pat četrām reizēm lēnāks nekā parastajā DRAM, un atsvaidzes intensitāte ir ievērojami augstāka. Tam visam klāt nāk patentēti aizsardzības mehānismi pret priekšlaicīgu lādiņa zudumu, kuru reversajai inženierijai bija nepieciešams specializēts aprīkojums.
Lai pārvarētu šos šķēršļus, Pētnieki izstrādāja jaunu reversās inženierijas metodi, kas vērsta uz GDDR DRAMIzmantojot zema līmeņa CUDA kodu, viņi veica uzbrukumu, izmantojot īpašas optimizācijas, kas pastiprināja piekļuvi noteiktām atmiņas šūnām, radot apstākļus, kas veicina bitu manipulāciju. Panākumu atslēga bija panākt augsti organizētu paralēlo skaitļošanu, kas darbojās kā spiediena pastiprinātājs uz blakus esošajām šūnām.
Kā notiek uzbrukums?
Uzbrukums izmanto DRAM fizisku vājumu, kur intensīva piekļuve atmiņas rindai (pazīstama kā “āmēšana”) var izraisīt izmaiņas blakus esošajās rindāsLai gan šī ievainojamība tika atklāta 2014. gadā un plaši pētīta centrālā procesora DDR atmiņā, tās pārnešana uz grafiskajiem procesoriem līdz šim ir bijusi izaicinājums šādu iemeslu dēļ:
- GDDR6 augstā piekļuves latentuma pakāpe (līdz pat 4 reizēm augstāka nekā DDR4).
- Atmiņas fiziskās sadales sarežģītība.
- Patentētu un slikti dokumentētu mazināšanas pasākumu, piemēram, TRR, klātbūtne.
Rowhammer ir aparatūras ievainojamība, kurā, ātri aktivizējot vienu atmiņas rindu, tiek izraisītas bitu apgriešanas blakus esošajās rindās. Kopš 2014. gada šī ievainojamība ir plaši pētīta centrālajos procesoros (CPU) un uz CPU balstītā atmiņā, piemēram, DDR3, DDR4 un LPDDR4. Tomēr, tā kā kritiskas mākslīgā intelekta un mašīnmācīšanās darba slodzes tagad darbojas uz atsevišķiem GPU mākonī, ir ļoti svarīgi novērtēt GPU atmiņas ievainojamību pret Rowhammer uzbrukumiem.
Neskatoties uz šiem šķēršļiem, Pētniekiem izdevās pielietot reverso inženieriju par virtuālās/fiziskās atmiņas piešķiršanu CUDA vidē, Viņi izstrādāja metodi konkrētu DRAM atmiņas banku identificēšanai. un optimizēta paralēlā piekļuve, izmantojot vairākus pavedienus un deformācijas, maksimāli palielinot āmura ātrumu, neradot papildu latentumu.
Koncepcijas pierādījums parādīja, kā viena bita apvērsums dziļā neironu tīkla (DNN) modeļa svaros, īpaši FP16 eksponentos, var samazināt attēlu klasifikācijas modeļu augstāko punktu precizitāti ImageNet platformā no 1% līdz 80%. Šis atklājums ir satraucošs datu centriem un mākoņpakalpojumiem, kas darbojas ar mākslīgā intelekta darba slodzēm koplietotās vidēs ar GPU.
Mazinājumi un ierobežojumi
NVIDIA ir apstiprinājusi ievainojamību un iesaka iespējot ECC atbalstu. (Kļūdu labošanas kods), izmantojot komandu nvidia-smi -e 1. Lai gan Šis pasākums var labot kļūdas viena bita Tas nozīmē veiktspējas zudumu līdz pat 10%. un pieejamās atmiņas samazinājums par 6,25 %. Tas arī neaizsargā pret turpmākiem uzbrukumiem, kas saistīti ar vairāku bitu apgriešanu.
Mēs apstiprinājām Rowhammer bitu svārstības NVIDIA A6000 GPU ar GDDR6 atmiņu. Citi GDDR6 GPU, piemēram, RTX 3080, mūsu testos neuzrādīja bitu svārstības, iespējams, DRAM ražotāja, mikroshēmas raksturlielumu vai darbības apstākļu, piemēram, temperatūras, atšķirību dēļ. Mēs arī nenovērojām nekādas svārstības A100 GPU ar HBM atmiņu.
Komanda uzsver, ka GPUHammer pašlaik ir pārbaudīts tikai uz A6000 GPU ar GDDR6., un nevis uz tādiem modeļiem kā A100 (HBM) vai RTX 3080. Tomēr, tā kā šis ir paplašināms uzbrukums, citi pētnieki tiek mudināti atkārtot un paplašināt analīzi uz dažādām GPU arhitektūrām un modeļiem.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat skatīt sīkāku informāciju šī saite.