文章摘要
英伟达GPU近期被发现存在一个名为GPUHammer的严重漏洞,该漏洞通过一种物理攻击方式对显存进行破坏,导致深度学习模型的准确率急剧下降。研究人员在多伦多大学的实验中,成功在英伟达RTX A6000上实施了这种攻击,并发现其影响范围可能不仅限于该型号。GPUHammer并非通过代码篡改模型文件,而是直接对显存进行物理攻击,属于Rowhammer攻击的一种。它通过反复“敲击”内存某一行,引发相邻行中的比特翻转,从而篡改数据。这种攻击方式以前仅适用于CPU内存,如今GPU也未能幸免。
在实验中,研究人员对AlexNet、VGG、ResNet等经典神经网络架构发起了攻击,结果显示,即使是单个比特的翻转也可能导致模型性能的彻底崩溃。模型准确率从80%暴跌至0.1%,这种影响在自动驾驶和医疗AI等关键领域尤为严重,可能导致交通标志误识别或医疗误诊。此外,在云机器学习平台或虚拟桌面基础设施(VDI)等共享GPU环境中,恶意租户可能利用GPUHammer攻击相邻的工作负载,影响推理准确性或破坏缓存的模型参数。
为了应对这一威胁,英伟达建议用户启用系统级纠错码(ECC)作为防御措施。ECC通过在内存数据旁添加校验码,能够自动识别并纠正单个比特错误。然而,ECC只能修复单个比特错误,无法应对双比特翻转,且启用ECC会导致GPU性能下降,内存带宽损失高达12%,机器学习应用速度降低3%-10%。研究团队指出,系统通常默认禁用ECC,因为启用它会带来额外的内存开销和性能损失。
尽管GPUHammer对AI基础设施构成了严重威胁,但研究人员表示,该漏洞对游戏等普通应用的影响有限。例如,RTX 3080和A100等芯片采用了与A6000不同的DRAM架构,能够有效避开Rowhammer攻击。此外,未来的GPU如果集成片上ECC(on-die ECC),将能够纠正单位翻转并检测双位翻转,进一步降低Rowhammer攻击的风险。在云端环境中,英伟达的MIG(多实例GPU)和机密计算技术通过内存隔离,也能有效防止多租户共享同一DRAM存储,从而阻止Rowhammer类攻击。
GPUHammer的出现标志着AI模型安全建设的新起点,随着AI技术的不断发展,类似的安全威胁可能会变得更加隐蔽和复杂。研究人员和开发者需要持续关注并应对这些潜在风险,以确保AI系统的稳定性和安全性。
原文和模型
【原文链接】 阅读原文 [ 1001字 | 5分钟 ]
【原文作者】 量子位
【摘要模型】 deepseek-v3
【摘要评分】 ★★☆☆☆
相关文章
