Disa ditë më parë, një ekip studiuesish publikoi informacion mbi zhvillimin e sulmi i parë i Rowhammer që është drejtuar me sukses në la Memorie video GDDR6 të një GPU-je, konkretisht një NVIDIA A6000.
Teknika, i quajtur GPUHammer, lejon manipulimin e biteve individuale në DRAM-in e GPU-së, duke degraduar në mënyrë drastike saktësinë e modeleve të të mësuarit automatik duke ndryshuar vetëm një bit të vetëm të parametrave të tyre. Këto ndërrime bitash i lejojnë një përdoruesi keqdashës të GPU-së të manipulojë të dhënat e GPU-së së një përdoruesi tjetër në mjedise të përbashkëta dhe të ndara në kohë.
Deri tani, Zbatimi i Rowhammer në kujtimet video konsiderohej jopraktik. për shkak të disa kufizimeve teknike. Paraqitja fizike e qelizave të memories në çipat GDDR është e vështirë të hartëzohet, vonesat e aksesit janë deri në katër herë më të ngadalta se në DRAM-in konvencional, dhe shkallët e rifreskimit janë dukshëm më të larta. Kësaj i shtohen mekanizmat mbrojtës të patentuar kundër humbjes së parakohshme të ngarkesës, inxhinieria e kundërt e të cilave kërkonte pajisje të specializuara.
Për të kapërcyer këto pengesa, Studiuesit zhvilluan një teknikë të re të inxhinierisë së kundërt që synon GDDR DRAMDuke përdorur kod CUDA të nivelit të ulët, ata ekzekutuan sulmin përmes optimizimeve specifike që intensifikuan aksesin në qeliza të caktuara të memories, duke krijuar kushte të favorshme për manipulimin e biteve. Çelësi i suksesit qëndronte në arritjen e një informatike paralele shumë të organizuar, e cila vepronte si një amplifikator i presionit mbi qelizat ngjitur.
Si funksionon sulmi?
Sulmi shfrytëzon një dobësi fizike në DRAM, ku qasja intensive në një rresht memorieje (e njohur si "çekiç") mund të shkaktojë ndryshime në rreshtat ngjiturEdhe pse kjo dobësi u identifikua në vitin 2014 dhe u studiua gjerësisht në memorien DDR të CPU-së, portimi i saj në GPU deri më tani ka qenë një sfidë për shkak të:
- Vonesa e lartë e aksesit të GDDR6 (deri në 4 herë më e lartë se DDR4).
- Kompleksiteti në ndarjen fizike të kujtesës.
- Prania e zbutjeve pronësore dhe të dokumentuara dobët, siç është TRR.
Rowhammer është një dobësi hardueri në të cilën aktivizimi i shpejtë i një rreshti të memories sjell ndërrime bitash në rreshtat ngjitur. Që nga viti 2014, kjo dobësi është studiuar gjerësisht në CPU dhe memorie të bazuar në CPU, të tilla si DDR3, DDR4 dhe LPDDR4. Megjithatë, meqenëse ngarkesat kritike të punës së IA-së dhe të të mësuarit automatik tani funksionojnë në GPU diskrete në cloud, vlerësimi i dobësisë së memories GPU ndaj sulmeve Rowhammer është kritik.
Pavarësisht këtyre pengesave, Studiuesit arritën të aplikojnë inxhinierinë e kundërt mbi alokimin e memories virtuale/fizike në CUDA, Ata zhvilluan një metodë për të identifikuar banka specifike të memories DRAM. dhe optimizoi aksesin paralel duke përdorur fije dhe deformime të shumëfishta, duke maksimizuar shkallën e goditjes me çekiç pa shkaktuar vonesë shtesë.
Prova e konceptit tregoi se si një ndryshim i vetëm në peshat e modelit të rrjetit të thellë nervor (DNN), konkretisht në eksponentët FP16, mund të degradojë saktësinë kryesore të modeleve të klasifikimit të imazheve në ImageNet nga 1% në 80%. Ky zbulim është alarmues për qendrat e të dhënave dhe shërbimet cloud që ekzekutojnë ngarkesa pune të IA-së në mjedise të përbashkëta me GPU.
Zbutjet dhe kufizimet
NVIDIA ka konfirmuar dobësinë dhe rekomandon aktivizimin e mbështetjes ECC. (Kodi i Korrigjimit të Gabimeve) duke përdorur komandën nvidia-smi -e 1. Edhe pse Kjo masë mund të korrigjojë gabimet bit i vetëm, Kjo nënkupton një humbje të performancës deri në 10%. dhe një reduktim prej 6,25% në memorien e disponueshme. Gjithashtu nuk mbron nga sulmet e ardhshme që përfshijnë ndërrime të shumëfishta bitësh.
Ne konfirmuam luhatjet e biteve Rowhammer në GPU-të NVIDIA A6000 me memorie GDDR6. GPU-të e tjera GDDR6, të tilla si RTX 3080, nuk shfaqën luhatje bitesh në testimin tonë, ndoshta për shkak të ndryshimeve në shitësin e DRAM, karakteristikat e çipit ose kushtet e funksionimit si temperatura. Gjithashtu, nuk vumë re ndonjë luhatje në një GPU A100 me memorie HBM.
Ekipi thekson se GPUHammer aktualisht është verifikuar vetëm në GPU-në A6000 me GDDR6., dhe jo në modele si A100 (HBM) ose RTX 3080. Megjithatë, meqenëse ky është një sulm i zgjerueshëm, studiues të tjerë inkurajohen të replikojnë dhe zgjerojnë analizën në arkitektura dhe modele të ndryshme GPU-sh.
Së fundi, nëse jeni të interesuar të mësoni më shumë rreth tij, mund të konsultoni detajet në lidhja vijuese.