AMD, Apple e Qualcomm encontraram uma vulnerabilidade em seus gráficos que lhes permite espionar as respostas da IA

Especialistas em segurança cibernética da Trail of Bits descobriram uma vulnerabilidade LeftoverLocals que afeta GPUs AMD, Apple e Qualcomm, permitindo que invasores interceptem dados de memória entre a vítima e um modelo de inteligência artificial executado localmente.

Fonte da imagem: Gerd Altmann / pixabay.com

Os desenvolvedores de CPU passaram anos aperfeiçoando a segurança da CPU e evitando vazamentos de memória, mesmo quando o desempenho é uma prioridade. As GPUs foram originalmente projetadas para aplicações gráficas, sem a privacidade dos dados em mente. Mas hoje eles são usados ​​como aceleradores para algoritmos de IA, e as vulnerabilidades da GPU estão se tornando um problema cada vez mais urgente.

Para explorar a vulnerabilidade LeftoverLocals, um invasor deve obter algum acesso ao sistema operacional no dispositivo alvo. As estações de trabalho e servidores modernos são projetados para permitir que vários usuários trabalhem e armazenem dados juntos – eles têm um meio de isolá-los uns dos outros – mas o ataque LeftoverLocals quebra essas barreiras. Como resultado, o hacker consegue extrair dados aos quais não deveria ter acesso da memória local alocada para a GPU.

Os autores do estudo demonstraram como esse ataque funciona – eles lançaram localmente um grande modelo de linguagem LLaMA com 7 bilhões de parâmetros, usando uma placa de vídeo AMD Radeon RX 7900 XT, fizeram uma pergunta à IA e “ouviram” a resposta. Os dados recebidos coincidiram quase completamente com a resposta real do sistema. O ataque exigiu menos de dez linhas de código para ser executado.

Fonte da imagem: wired.com

No verão passado, eles testaram 11 chips de 7 fabricantes de GPU em vários ambientes de software. Vulnerabilidade LeftoverLocals encontrada em gráficos AMD, Apple e Qualcomm; Posteriormente, o Google confirmou sua presença em alguns modelos da Imagination; A presença da vulnerabilidade para gráficos NVIDIA, Intel e Arm não pôde ser confirmada. Um porta-voz da Apple reconheceu o problema e disse que a vulnerabilidade foi corrigida para os chips M3 e A17, provavelmente significando que os modelos anteriores permaneceriam vulneráveis. A Qualcomm disse à Wired que a empresa está “no processo” de lançar atualizações de segurança para seus clientes; De acordo com a Trail of Bits, a empresa lançou todas as atualizações de firmware necessárias. A AMD disse em seu site que uma atualização de software será lançada em março que ajudará a “mitigar seletivamente os efeitos” do LeftoverLocals. O Google informou que lançou uma atualização do ChromeOS para dispositivos baseados em chips AMD e Qualcomm.

No entanto, Trail of Bits alerta que pode não ser fácil para os usuários finais obter todas essas opções de software atualizadas. Os fabricantes de chips lançam novas versões de firmware, e as empresas de PC e componentes as implementam nas versões mais recentes de seu próprio software, que é posteriormente transferido para os proprietários finais dos equipamentos. Dado o grande número de intervenientes no mercado tecnológico global, coordenar as ações de todas as partes não é fácil. Para operar o LeftoverLocals, é necessário um certo nível de acesso aos dispositivos alvo, mas os hacks modernos são realizados através de cadeias inteiras de vulnerabilidades, e este pode ser apenas um dos links.

Por outro lado, os pesquisadores descobriram que organizar um ataque através de LeftoverLocals parece improvável nos cenários de provedores de nuvem, aplicativos móveis e hacking através de recursos da web. Mas os fabricantes de GPU terão que se acostumar com a ideia de que também terão que considerar a privacidade dos dados, já que as placas gráficas agora são usadas para mais do que apenas processamento gráfico.