AMD、蘋果、高通GPU存在漏洞，可致AI模型訓練資料洩露

近日，Trail of Bits的研究人員Tyler Sorensen和Heidy Khlaaf發現，AMD、蘋果、高通等GPU中存在一個名為“LeftoverLocals”的漏洞可被攻擊者利用，以窺探受害者的GPU活動並洩露模型訓練資料。

GPU最初設計用於解決CPU在圖形處理上的不足，由於其出色的並行處理能力，也被廣泛應用於其他領域（如AI模型訓練）。該漏洞（CVE-2023-4969）使得從易受攻擊的GPU中恢復資料成為可能，安全研究員在部落格中介紹說：

“該漏洞允許在蘋果、高通、AMD、Imagination GPU上恢復另一個程式建立的GPU本地記憶體中的資料。LeftoverLocals對整個GPU應用程式的安全性產生影響，特別是對受影響GPU平臺上執行的LLM和ML模型具有重要意義。”

這個安全漏洞的根源在於一些GPU框架沒有完全隔離記憶體，一臺機器上執行的一個核心可以讀取另一個核心寫入的本地記憶體中的值。理想情況下每個快取都應該在程式使用完畢後被清除，以防止資料被盜——然而實際上這種刪除並不會自動發生，從而允許被GPU上的其他應用程式所觀察到，也因此給該漏洞取了LeftoverLocals這個名字。

恢復的資料可以揭示與受害者計算相關的敏感資訊，包括模型輸入、輸出、權重和中間計算。在執行LLMs的多使用者GPU環境中，LeftoverLocals可以用來監聽其他使用者的互動會話，並從受害者的“寫入者”程式的GPU本地儲存器中恢復資料。

該漏洞在披露前已報告給各大廠商。目前高通已為此釋出了韌體補丁；蘋果稱其M3和A17系列處理器已經修復了這個漏洞；AMD在週二釋出的安全公告中表示，計劃從3月開始為此推出驅動程式更新；而Nvidia和Arm據說不受影響。

報告連結：https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

編輯：左右裡

資訊來源：Trail of Bits、bleepingcomputer

轉載請註明出處和本文連結