Ученые из Университета Торонто обнаружили уязвимость под названием GPUHammer, способную изменять биты в памяти видеокарт NVIDIA. Эта атака может незаметно повреждать модели ИИ и создавать серьезные проблемы, не затрагивая при этом код или входные данные. К счастью, компания Nvidia уже приняла меры предосторожности и выпустила рекомендации по снижению рисков. Однако владельцам видеокарт с памятью GDDR6 стоит обратить на это внимание.
Исследователи из Университета Торонто продемонстрировали, как данная атака может снизить точность модели ИИ с 80% до менее 1%, всего лишь изменив один бит в памяти. Это не просто теоретическое утверждение: эксперимент проводился на реальной видеокарте NVIDIA RTX A6000 с использованием метода многократного воздействия на ячейки памяти, что приводило к изменению соседних битов.
GPUHammer — это версия известной аппаратной уязвимости Rowhammer, нацеленной на GPU. Ранее эта уязвимость касалась в основном процессоров и оперативной памяти DDR4, но теперь доказано, что проблема затрагивает и GDDR6 VRAM, используемую во множестве современных видеокарт NVIDIA, особенно в рабочих станциях и серверах для ИИ. Исследователи показали, что даже при наличии защитных механизмов возможно вызвать множественные изменения битов в различных банках памяти. В одном из случаев атака полностью разрушила обученную модель ИИ, сделав её бесполезной.
Самое тревожное — это то, что для атаки не требуется доступ к данным жертвы. Злоумышленнику достаточно находиться в том же облачном окружении или сервере, чтобы вмешаться в вычисления.
Атака была протестирована на видеокарте RTX A6000, но риску также подвержены другие модели архитектур Ampere, Ada, Hopper и Turing. Nvidia опубликовала список уязвимых видеокарт и рекомендует включить ECC (код коррекции ошибок), если ваша видеокарта это поддерживает. Новые GPU, такие как RTX 5090 и H100, уже имеют встроенный ECC, который работает автоматически.
Компания Nvidia рекомендует активировать ECC, если ваша видеокарта его поддерживает. Этот механизм добавляет избыточность в память, что позволяет обнаруживать и исправлять ошибки. Однако стоит отметить, что включение ECC может снизить производительность машинного обучения примерно на 10% и уменьшить доступный объем видеопамяти на 6–6,5%.
Для серьезных ИИ-задач это разумная плата за безопасность. Чтобы активировать ECC, можно воспользоваться командной строкой NVIDIA:
bash nvidia-smi -i [ID_устройства] —ecc-config=1
Чтобы проверить статус ECC, используйте команду:
bash nvidia-smi -q
Атаки вроде GPUHammer не просто приводят к сбоям — они подрывают целостность ИИ, влияя на поведение моделей. Изменения происходят на аппаратном уровне, что делает их почти незаметными без специальных проверок. В таких регулируемых отраслях, как медицина, финансы или автономное вождение, это может иметь серьезные последствия.
GPUHammer служит сигналом для всей индустрии: безопасность памяти GPU становится критически важной.