Birkaç gün önce, bir araştırma ekibi tarafından, ilk Rowhammer saldırısı o başarıyla yönlendirildi la GDDR6 video belleği bir GPU'nun, özellikle bir NVIDIA A6000'in.
Teknik, GPUHammer olarak adlandırıldı, GPU'nun DRAM'ındaki bireysel bitlerin manipüle edilmesine olanak tanır ve makine öğrenimi modellerinin parametrelerinin yalnızca tek bir bitini değiştirerek doğruluğunu önemli ölçüde azaltır. Bu bit değişiklikleri, kötü niyetli bir GPU kullanıcısının, paylaşılan, zaman dilimli ortamlarda başka bir kullanıcının GPU verilerini manipüle etmesine olanak tanır.
Şimdiye kadar Rowhammer'ı video anılarına uygulamak pratik olarak kabul edilmedi Çeşitli teknik sınırlamalar nedeniyle. GDDR yongalarındaki bellek hücrelerinin fiziksel düzenini haritalamak zordur, erişim gecikmeleri geleneksel DRAM'lere göre dört kata kadar daha yavaştır ve yenileme hızları önemli ölçüde daha yüksektir. Bunlara ek olarak, erken şarj kaybına karşı tescilli koruma mekanizmaları da vardır ve bunların tersine mühendisliği özel ekipman gerektirir.
Bu engelleri aşmak için, Araştırmacılar GDDR DRAM'ı hedef alan yeni bir tersine mühendislik tekniği geliştirdilerDüşük seviyeli CUDA kodu kullanarak, belirli bellek hücrelerine erişimi yoğunlaştıran ve bit manipülasyonuna elverişli koşullar yaratan özel optimizasyonlar aracılığıyla saldırıyı gerçekleştirdiler. Başarının anahtarı, bitişik hücreler üzerindeki baskıyı artıran, son derece organize paralel hesaplama elde etmekte yatıyordu.
Saldırı nasıl işliyor?
Saldırı DRAM'daki fiziksel bir zayıflıktan yararlanır, bir bellek satırına yoğun erişim (bilinen adıyla "çekiçleme") bitişik sıralarda değişikliklere neden olabilirBu güvenlik açığı 2014 yılında tespit edilmiş ve CPU DDR belleğinde kapsamlı bir şekilde incelenmiş olmasına rağmen, şu ana kadar GPU'lara taşınması şu nedenlerden dolayı zorlu olmuştur:
- GDDR6'nın yüksek erişim gecikmesi (DDR4'ten 4 kata kadar daha yüksek).
- Belleğin fiziksel olarak dağıtılmasındaki karmaşıklık.
- TRR gibi tescilli ve yeterince belgelenmemiş hafifletme önlemlerinin varlığı.
Rowhammer, bir bellek satırının hızla etkinleştirilmesinin bitişik satırlarda bit dönüşümlerine neden olduğu bir donanım güvenlik açığıdır. Bu güvenlik açığı, 2014 yılından bu yana DDR3, DDR4 ve LPDDR4 gibi CPU'larda ve CPU tabanlı belleklerde kapsamlı bir şekilde incelenmiştir. Ancak, kritik yapay zeka ve makine öğrenimi iş yükleri artık buluttaki ayrı GPU'larda çalıştığından, GPU belleğinin Rowhammer saldırılarına karşı savunmasızlığını değerlendirmek kritik öneme sahiptir.
Bu engellere rağmen, Araştırmacılar tersine mühendislik uygulamayı başardılar CUDA'da sanal/fiziksel bellek tahsisi hakkında Belirli DRAM bellek bankalarını tanımlamak için bir yöntem geliştirdiler ve çoklu iş parçacıkları ve çözgüler kullanılarak optimize edilmiş paralel erişim, ek gecikmeye neden olmadan çekiçleme oranını en üst düzeye çıkarır.
Kavram kanıtı, derin sinir ağı (DNN) model ağırlıklarında, özellikle FP16 üslerinde tek bitlik bir değişikliğin, ImageNet'teki görüntü sınıflandırma modellerinin en iyi 1 numaralı doğruluğunu %80'den %0,1'e nasıl düşürebileceğini gösterdi. Bu bulgu, GPU'larla paylaşımlı ortamlarda yapay zeka iş yüklerini çalıştıran veri merkezleri ve bulut hizmetleri için endişe verici.
Azaltma önlemleri ve sınırlamalar
NVIDIA bu güvenlik açığını doğruladı ve ECC desteğinin etkinleştirilmesini öneriyor. (Hata Düzeltme Kodu) nvidia-smi -e 1 komutunu kullanarak. Her ne kadar Bu önlem hataları düzeltebilir tek bit, Bu da %10'a varan bir performans kaybı anlamına geliyor. ve kullanılabilir bellekte %6,25'lik bir azalma. Ayrıca, birden fazla bit dönüşümünü içeren gelecekteki saldırılara karşı da koruma sağlamaz.
GDDR6000 belleğe sahip NVIDIA A6 GPU'larda Rowhammer bit dalgalanmalarını doğruladık. RTX 6 gibi diğer GDDR3080 GPU'lar, testlerimizde bit dalgalanmaları göstermedi; bu durum muhtemelen DRAM üreticisi, yonga özellikleri veya sıcaklık gibi çalışma koşullarındaki farklılıklardan kaynaklanıyordu. Ayrıca, HBM belleğe sahip bir A100 GPU'da da herhangi bir dalgalanma gözlemlemedik.
Takım şunu vurguluyor: GPUHammer şu anda yalnızca GDDR6000'lı A6 GPU'da doğrulandıve A100 (HBM) veya RTX 3080 gibi modellerde değil. Ancak, bu genişletilebilir bir saldırı olduğundan, diğer araştırmacıların analizi farklı GPU mimarileri ve modelleri üzerinde çoğaltıp genişletmeleri teşvik edilmektedir.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara başvurabilirsiniz. aşağıdaki bağlantı.