Beberapa hari lalu, maklumat telah dikeluarkan oleh sepasukan penyelidik mengenai pembangunan serangan Rowhammer pertama bahawa telah berjaya diarahkan ke la Memori video GDDR6 daripada GPU, khususnya NVIDIA A6000.
Tekniknya, digelar GPUHammer, membolehkan bit individu dalam DRAM GPU dimanipulasi, secara drastik merendahkan ketepatan model pembelajaran mesin dengan mengubah hanya sedikit parameternya. Selak sedikit ini membenarkan pengguna GPU yang berniat jahat untuk memanipulasi data GPU pengguna lain dalam persekitaran yang dikongsi dan dihiris masa.
Sehingga kini, Menggunakan Rowhammer pada kenangan video dianggap tidak praktikal disebabkan oleh beberapa batasan teknikal. Susun atur fizikal sel memori dalam cip GDDR sukar dipetakan, kependaman capaian adalah sehingga empat kali lebih perlahan daripada DRAM konvensional, dan kadar penyegaran lebih tinggi dengan ketara. Ditambah pada ini ialah mekanisme perlindungan proprietari terhadap kehilangan caj pramatang, kejuruteraan terbalik yang memerlukan peralatan khusus.
Untuk mengatasi halangan ini, Penyelidik membangunkan teknik kejuruteraan terbalik baharu yang menyasarkan DRAM GDDRMenggunakan kod CUDA peringkat rendah, mereka melaksanakan serangan melalui pengoptimuman khusus yang mempergiatkan akses kepada sel memori tertentu, mewujudkan keadaan yang kondusif untuk manipulasi bit. Kunci kejayaan terletak pada mencapai pengkomputeran selari yang sangat teratur, yang bertindak sebagai penguat tekanan pada sel bersebelahan.
Bagaimana serangan itu berfungsi?
Serangan itu mengeksploitasi kelemahan fizikal dalam DRAM, di mana akses intensif kepada baris ingatan (dikenali sebagai "memalu") boleh mendorong perubahan dalam baris bersebelahanWalaupun kelemahan ini dikenal pasti pada 2014 dan dikaji secara meluas dalam memori CPU DDR, mengalihkannya ke GPU setakat ini menjadi satu cabaran kerana:
- Kependaman akses tinggi GDDR6 (sehingga 4 kali lebih tinggi daripada DDR4).
- Kerumitan dalam peruntukan fizikal ingatan.
- Kehadiran mitigasi proprietari dan kurang didokumenkan, seperti TRR.
Rowhammer ialah kerentanan perkakasan di mana mengaktifkan satu baris memori dengan pantas memperkenalkan lilitan bit dalam baris bersebelahan. Sejak 2014, kerentanan ini telah dikaji secara meluas dalam CPU dan memori berasaskan CPU seperti DDR3, DDR4 dan LPDDR4. Walau bagaimanapun, memandangkan AI kritikal dan beban kerja pembelajaran mesin kini dijalankan pada GPU diskret dalam awan, menilai kerentanan memori GPU terhadap serangan Rowhammer adalah kritikal.
Walaupun terdapat halangan ini, pihak Penyelidik berjaya mengaplikasikan kejuruteraan terbalik mengenai peruntukan ingatan maya/fizikal dalam CUDA, Mereka membangunkan kaedah untuk mengenal pasti bank memori DRAM tertentu dan mengoptimumkan akses selari menggunakan berbilang benang dan meledingkan, memaksimumkan kadar penukul tanpa menyebabkan kependaman tambahan.
Bukti konsep menunjukkan bagaimana pemberat model rangkaian neural dalam (DNN) satu-bit, khususnya dalam eksponen FP16, boleh merendahkan ketepatan 1 teratas model klasifikasi imej pada ImageNet daripada 80% kepada 0,1%. Penemuan ini membimbangkan untuk pusat data dan perkhidmatan awan yang menjalankan beban kerja AI dalam persekitaran yang dikongsi dengan GPU.
Pengurangan dan batasan
NVIDIA telah mengesahkan kelemahan dan mengesyorkan agar sokongan ECC didayakan. (Kod Pembetulan Ralat) menggunakan arahan nvidia-smi -e 1. Walaupun Langkah ini boleh membetulkan kesilapan bit tunggal, Ini menunjukkan kehilangan prestasi sehingga 10%. dan pengurangan 6,25% dalam ingatan yang tersedia. Ia juga tidak melindungi daripada serangan masa depan yang melibatkan beberapa lilitan bit.
Kami mengesahkan turun naik bit Rowhammer pada GPU NVIDIA A6000 dengan memori GDDR6. GPU GDDR6 lain, seperti RTX 3080, tidak menunjukkan sedikit turun naik dalam ujian kami, mungkin disebabkan oleh variasi dalam vendor DRAM, ciri cip atau keadaan operasi seperti suhu. Kami juga tidak melihat sebarang turun naik pada GPU A100 dengan memori HBM.
Pasukan menyerlahkan itu GPUHammer pada masa ini hanya disahkan pada GPU A6000 dengan GDDR6, dan bukan pada model seperti A100 (HBM) atau RTX 3080. Walau bagaimanapun, memandangkan ini adalah serangan yang boleh diperluaskan, penyelidik lain digalakkan untuk meniru dan mengembangkan analisis pada seni bina dan model GPU yang berbeza.
Akhir sekali, jika anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh merujuk butiran dalam pautan berikut.