Especialistas em segurança cibernética da Trail of Bits descobriram uma vulnerabilidade LeftoverLocals que afeta GPUs AMD, Apple e Qualcomm, permitindo que invasores interceptem dados de memória entre a vítima e um modelo de inteligência artificial executado localmente.
Fonte da imagem: Gerd Altmann / pixabay.com
Os desenvolvedores de CPU passaram anos aperfeiçoando a segurança da CPU e evitando vazamentos de memória, mesmo quando o desempenho é uma prioridade. As GPUs foram originalmente projetadas para aplicações gráficas, sem a privacidade dos dados em mente. Mas hoje eles são usados como aceleradores para algoritmos de IA, e as vulnerabilidades da GPU estão se tornando um problema cada vez mais urgente.
Para explorar a vulnerabilidade LeftoverLocals, um invasor deve obter algum acesso ao sistema operacional no dispositivo alvo. As estações de trabalho e servidores modernos são projetados para permitir que vários usuários trabalhem e armazenem dados juntos – eles têm um meio de isolá-los uns dos outros – mas o ataque LeftoverLocals quebra essas barreiras. Como resultado, o hacker consegue extrair dados aos quais não deveria ter acesso da memória local alocada para a GPU.
Os autores do estudo demonstraram como esse ataque funciona – eles lançaram localmente um grande modelo de linguagem LLaMA com 7 bilhões de parâmetros, usando uma placa de vídeo AMD Radeon RX 7900 XT, fizeram uma pergunta à IA e “ouviram” a resposta. Os dados recebidos coincidiram quase completamente com a resposta real do sistema. O ataque exigiu menos de dez linhas de código para ser executado.
Fonte da imagem: wired.com
No verão passado, eles testaram 11 chips de 7 fabricantes de GPU em vários ambientes de software. Vulnerabilidade LeftoverLocals encontrada em gráficos AMD, Apple e Qualcomm; Posteriormente, o Google confirmou sua presença em alguns modelos da Imagination; A presença da vulnerabilidade para gráficos NVIDIA, Intel e Arm não pôde ser confirmada. Um porta-voz da Apple reconheceu o problema e disse que a vulnerabilidade foi corrigida para os chips M3 e A17, provavelmente significando que os modelos anteriores permaneceriam vulneráveis. A Qualcomm disse à Wired que a empresa está “no processo” de lançar atualizações de segurança para seus clientes; De acordo com a Trail of Bits, a empresa lançou todas as atualizações de firmware necessárias. A AMD disse em seu site que uma atualização de software será lançada em março que ajudará a “mitigar seletivamente os efeitos” do LeftoverLocals. O Google informou que lançou uma atualização do ChromeOS para dispositivos baseados em chips AMD e Qualcomm.
No entanto, Trail of Bits alerta que pode não ser fácil para os usuários finais obter todas essas opções de software atualizadas. Os fabricantes de chips lançam novas versões de firmware, e as empresas de PC e componentes as implementam nas versões mais recentes de seu próprio software, que é posteriormente transferido para os proprietários finais dos equipamentos. Dado o grande número de intervenientes no mercado tecnológico global, coordenar as ações de todas as partes não é fácil. Para operar o LeftoverLocals, é necessário um certo nível de acesso aos dispositivos alvo, mas os hacks modernos são realizados através de cadeias inteiras de vulnerabilidades, e este pode ser apenas um dos links.
Por outro lado, os pesquisadores descobriram que organizar um ataque através de LeftoverLocals parece improvável nos cenários de provedores de nuvem, aplicativos móveis e hacking através de recursos da web. Mas os fabricantes de GPU terão que se acostumar com a ideia de que também terão que considerar a privacidade dos dados, já que as placas gráficas agora são usadas para mais do que apenas processamento gráfico.