Los malhechores en un sistema compartido pueden explotar una falla de diseño en los controladores de GPU fabricados por Apple, Qualcomm, AMD y probablemente Imagination para espiar a otros usuarios. Eso significa que los canallas pueden, por ejemplo, observar los grandes modelos de lenguaje y otro software de aprendizaje automático que los procesadores aceleran para otros usuarios. Eso será una preocupación para quienes estén entrenando o ejecutando LLM en un servidor compartido en la nube. En un sistema no compartido, el malware que logra ejecutarse en la caja podría aprovechar esta debilidad para espiar las actividades de la GPU del usuario. Fundamentalmente, se supone que los chips gráficos y sus controladores evitan este tipo de monitoreo, aislando completamente la memoria y otros recursos utilizados por cada proceso de usuario entre sí, pero en realidad, muchos no implementan esta funcionalidad de manera suficientemente segura, lo que permite que los datos Ser robado. La vulnerabilidad, rastreada como CVE-2023-4969 y denominada LeftoverLocals, fue descubierta por Tyler Sorensen, ingeniero de investigación de seguridad del equipo de garantía de AI y ML de Trail of Bits y profesor asistente en la Universidad de California, Santa Cruz. La investigación hecha pública el martes detalla cómo los malhechores pueden explotar el agujero para leer datos arbitrarios en la memoria GPU local de un sistema. Además, publicaron un código de prueba de concepto para espiar un chatbot de LLM en una conversación con otro usuario en un servidor compartido acelerado por GPU. Para aprovechar la supervisión de seguridad, el atacante sólo necesita tener suficiente acceso a la GPU compartida para ejecutar el código de la aplicación en ella. Ese código, a pesar de las protecciones de aislamiento implementadas, en el silicio vulnerable puede extraer una región de la memoria que puede usarse como caché de datos; ese caché es compartido por otro código que se ejecuta en la GPU. La explotación implica monitorear el caché en busca de valores escritos por otros programas y extraer información de interés, permitiendo así robar datos de otros usuarios. «Esta filtración de datos puede tener graves consecuencias para la seguridad, especialmente dado el aumento de los sistemas de aprendizaje automático, donde se utiliza la memoria local para almacenar entradas, salidas y pesos del modelo», según Sorensen y Heidy Khlaaf, directora de ingeniería de IA y tecnología de Trail of Bits. Aseguramiento de ML. Si bien la falla afecta potencialmente a todas las aplicaciones de GPU en los chips afectados, es especialmente preocupante para aquellos que procesan aplicaciones de aprendizaje automático debido a la cantidad de datos que estos modelos procesan usando GPU y, por lo tanto, la cantidad de información potencialmente confidencial que podría ser robada al explotar esta vulnerabilidad. asunto. «LeftoverLocals puede perder ~5,5 MB por invocación de GPU en una AMD Radeon RX 7900 XT que, cuando se ejecuta un modelo 7B en llama.cpp, suma ~181 MB por cada consulta LLM», explicaron Sorensen y Khlaaf. «Esta es información suficiente para reconstruir la respuesta del LLM con alta precisión». Los cazadores de errores han estado trabajando con los proveedores de GPU afectados y el Centro de Coordinación CERT para abordar y revelar las fallas desde septiembre de 2023. AMD, en un boletín de seguridad emitido el martes, dijo que planea comenzar a implementar mitigaciones en marzo a través de las próximas actualizaciones de controladores. La casa de chips también confirmó que muchos de sus productos son vulnerables a la pérdida de memoria, incluidas múltiples versiones de sus procesadores móviles y de escritorio Athlon y Ryzen, tarjetas gráficas Radeon y GPU de centros de datos Radeon e Instinct. Cuando se le preguntó sobre LeftoverLocals, un portavoz de AMD dirigió a The Register al boletín sobre sus planes de mitigación y envió la siguiente declaración: Google señaló a Trail of Bits que algunas GPU de Imagination se ven afectadas y que el diseñador del procesador lanzó una solución para sus agujeros. el mes pasado. Además, un portavoz de Google le dio a The Register esta declaración: No se dice que Nvidia y Arm se vean afectados. Esa es la buena noticia aquí: muchos aceleradores de IA en la nube provienen de Nvidia, por lo que si estás entrenando o corriendo con ellos, estarás bien. Mientras tanto, Apple le dijo a The Register que sus procesadores de las series M3 y A17 tienen soluciones para la vulnerabilidad y se negó a comentar sobre la evaluación de los expertos de que «el problema todavía parece estar presente en el Apple MacBook Air (M2)». «Además, el Apple iPhone 15 lanzado recientemente no parece verse afectado como lo han sido las versiones anteriores», añadió el equipo de Trail of Bits. Un portavoz de Apple también nos dijo que iGiant apreciaba el trabajo de los investigadores, ya que avanza en la comprensión de la megacorporación sobre este tipo de amenazas. Qualcomm ha publicado un parche de firmware, aunque según los investigadores sólo soluciona el problema en algunos dispositivos. El chip goliat no respondió a las consultas de The Register. ®

Source link