NVIDIA: Перший атака Bit-Flip на пам’ять GDDR6 графічних процесорів

Головна — News — NVIDIA: Перший атака Bit-Flip на пам’ять GDDR6 графічних процесорів

GPUHammer порушив усталені уявлення про непорушність графічної пам’яті DRAM. Вперше в історії академічні дослідники змогли викликати зміни бітів Rowhammer у вбудованій пам’яті GDDR6 графічного процесора NVIDIA RTX A6000, що ставить під сумнів безпеку графічних процесорів у сферах штучного інтелекту, високопродуктивних обчислень та хмарних технологій.

Передумови: Rowhammer та загрози для GPU

Rowhammer — це метод індукції апаратних збоїв, що використовує фізичні властивості DRAM. Постійно звертаючись до (або “ударяючи”) рядків комірок пам’яті, зловмисник може порушити заряд у сусідніх рядках, змінюючи біти з 0 на 1 або навпаки. З моменту свого відкриття у 2014 році Rowhammer націлювався на модулі DDR3 та DDR4, підключені до процесорів. Графічні процесори, з їхніми вбудованими модулями GDDR та власними контролерами, вважалися недосяжними — до цього часу.

Related topic

Інструменти ШІ сповільнюють роботу розробників з відкритим кодом на 19%

2025-07-14

Метод атаки: Як працює GPUHammer

Дослідники з Університету Торонто, на чолі з Гурураджем Сайлешваром, Крісом С. Ліном та Джойс Ку, подолали кілька специфічних перешкод графічних процесорів у GPUHammer:

Зворотне інженерування адресного відображення: Тисячі банків і груп банків у GDDR6 фізично переплітаються. Команда використала таймінг з бокових каналів для відновлення відображення рядків і банків GPU.

Шаблони активації рядків: Видаючи обережно синхронізовані команди глобального зчитування пам’яті через CUDA, вони створили цикли активації з нано-секундною точністю, щоб дестабілізувати сусідні рядки.

Цілеспрямовані зміни бітів: Зміна одного біта в показнику 32-бітного ваги IEEE-754 (формат 2^y) може збільшити його значення в 2^128 разів, катастрофічно спотворюючи виходи нейронних мереж.

Доказ концепції змінив біти в моделі 3D U-Net, знижуючи точність з 80% до 0,1% — настільки радикальна зміна, що фактично “вбиває” модель.

Глибокий технічний аналіз: Вразливості GDDR6 порівняно з DDR4

Вищий темп оновлення: GDDR6 оновлює рядки до 8 разів швидше, ніж DDR4, але цикли GPUHammer все ще перевищують часи оновлення в критичних моментах.

Внутрішнє закінчення: Власні закінчення на кристалі та еквалайзери сигналу в упаковках GDDR6 додають шуму, ускладнюючи надійне “ударення”.

Непрозорість контролера: Контролери пам’яті GPU не надають фізичні адреси операційній системі, змушуючи зловмисників створювати зворотне відображення на основі вимірювань часу та конфліктів банків.

Related topic

Повадки Grok 4: Чат-бот xAI та суперечливі погляди Ілона Маска

2025-07-14

Заходи пом’якшення: ECC та його вплив на продуктивність

NVIDIA офіційно рекомендує активувати системний ECC на вразливих архітектурах (наприклад, Ampere A6000). ECC реалізує коди SECDED (Single Error Correction, Double Error Detection), які автоматично виправляють одно-бітні помилки та сигналізують про дво-бітні помилки.

~12% зниження пропускної здатності пам’яті під час інтенсивних навантажень з машинного навчання.

~6,25% втрата ефективної ємності пам’яті через накладні витрати ECC.

До 10% загального зниження продуктивності в додатках з великою пам’яттю, таких як медична візуалізація та моделі автономного водіння.

“Навіть одна зміна біта може призвести до падіння точності з 80% до 0,1%, роблячи модель непотрібною,” зазначає Сайлешвар. Внутрішній ECC у нових графічних процесорах H100 (HBM3) та майбутніх GDDR7 може забезпечити більшу стійкість, але цілеспрямовані тести Rowhammer ще попереду.

Вплив на постачальників хмарних послуг

Спільне використання GPU в багатокористувацьких середовищах підвищує ризики. AWS, Google Cloud і Azure пропонують екземпляри A6000:

AWS Nitro: AWS забезпечує апаратний ECC і спеціальну ізоляцію пам’яті для блокування загроз GPUHammer.

Google Cloud: GPU Shield розділяє фізичні GPU між проектами, зменшуючи площі атаки між користувачами.

Azure Confidential: Конфіденційні обчислювальні віртуальні машини Microsoft поєднують аналогічні до SGX анклави з ECC на GPU для глибокого захисту.

Related topic

Дослідження Стенфорда: Ризики та заходи безпеки в терапії з ІІ

2025-07-11

Думка експертів: Висновки з лабораторії пам’яті

“Це дослідження демонструє, що навіть передові модулі GDDR6 не є імунними до фізичних векторів атак,” говорить доктор Лінда Сюй, старший дослідник у Лабораторії систем пам’яті Стенфорда. “Майбутні стандарти DRAM, такі як GDDR7, повинні інтегрувати внутрішній ECC та спеціалізовані стратегії оновлення для захисту від порушень рядків.”

Майбутні заходи пом’якшення та напрямки досліджень

Окрім ECC, дослідники вивчають:

Цілеспрямоване оновлення рядків (TRR): Динамічне коригування інтервалів оновлення для “гарячих” рядків, щоб запобігти змінам бітів.

Картографування на основі апаратних PUF: Використання фізично неклонованих функцій для рандомізації відображення рядків і банків при завантаженні, унеможливлюючи зворотне інженерування.

DRAM Chipkill ECC: Схеми виправлення для кількох бітів, вбудовані на рівні кристала, як у реалізаціях Chipkill HBM3.

Найближчі презентації на конференції Usenix Security 2025 глибше розглянуть ці питання, а патчі для кернів драйверів NVIDIA для Linux вже проходять перевірку для впровадження більш суворого контролю пам’яті.

Related topic

Перегляд звітів поліції з AI: питання відповідальності у проєкті Axon

2025-07-11

Основні висновки

GPUHammer — перша успішна атака Rowhammer на дискретні графічні процесори, націлена на пам’ять GDDR6.

Активація ECC зменшує ризик одно-бітних змін, але призводить до зниження продуктивності до 10%.

Хмарні провайдери швидко впроваджують апаратну ізоляцію та ECC за замовчуванням для захисту GPU у багатокористувацьких середовищах.

Довгострокові заходи захисту вимагатимуть архітектурних змін: внутрішній ECC, TRR та рандомізоване картографування.