LeftoverLocals: Neue Sicherheitslücke in GPUs verschiedener Hersteller

Es kommt ziemlich häufig vor, dass in Hardwarekomponenten Schwachstellen entstehen, und in der Regel betrifft dies eine große Anzahl von Menschen in der Technologiebranche. Ein aktuelles Beispiel ist die kürzlich bekannt gewordene Schwachstelle „Intel’s Downfall“, die Tausende von CPU-Benutzern des Unternehmens gefährdet hat. Dieses Mal sollten jedoch GPU-Nutzer, unabhängig von der Plattform, sei es mobil oder Desktop, vorsichtig sein. Der Sicherheitsforscher Trail of Bits hat eine Schwachstelle entdeckt, die das Potenzial hat, „Schlüsseldaten“ aus dem internen Speicher zu extrahieren.

Es gibt eine Schwachstelle namens „LeftoverLocals“, die nicht auf Verbraucheranwendungen abzielt, sondern darauf abzielt, in die GPUs einzudringen, die in großen Sprachmodellen (LLMs) und maschinellen Lernmodellen (ML) integriert sind. In diesem Bereich ist es besonders wichtig, Daten zu extrahieren, da das Training von Modellen die Verwendung sensibler Daten beinhaltet. Experten der Carnegie Mellon University verfolgen die Entwicklung von LeftoverLocals, und es wird berichtet, dass die Informationen bereits von den wichtigsten GPU-Anbietern wie NVIDIA, Apple, AMD, Arm, Intel, Qualcomm und Imagination geteilt wurden.

Es wurde herausgefunden, dass bei der Ausführung eines Modells mit sieben Milliarden Parametern LeftoverLocals etwa 5,5 MB Daten pro GPU-Aufruf auf AMDs Radeon RX 7900 XT verlieren kann. Laut Trail of Bits ist die Datenleckrate ausreichend, um das gesamte Modell zu rekonstruieren. Daher stellt diese Schwachstelle ein erhebliches Risiko im Bereich der künstlichen Intelligenz dar, insbesondere für Unternehmen, die sich auf das Training von LLMs konzentrieren. Angreifer könnten potenziell von den Fortschritten in der KI profitieren und dadurch einen deutlich größeren Einfluss ausüben.

LeftoverLocals hängt allein davon ab, wie eine GPU ihren Speicher isoliert, was sich vollständig von einem CPU-Framework unterscheidet. Ein Angreifer, der über gemeinsamen Zugriff auf eine GPU über eine programmierbare Schnittstelle verfügt, kann daher Speicherdaten stehlen, was zu verschiedenen Sicherheitsproblemen führen kann. LeftoverLocals ist in zwei verschiedene Prozesse unterteilt, einen Listener und einen Writer, und beide funktionieren wie folgt:

Overall, this vulnerability can be illustrated using two simple programs: a Listener and a Writer, where the writer stores canary values in local memory, while a listener reads uninitialized local memory to check for the canary values. The Listener repeatedly launches a GPU kernel that reads from uninitialized local memory. The Writer repeatedly launches a GPU kernel that writes canary values to local memory.

Der durchschnittliche Verbraucher braucht sich wahrscheinlich keine Gedanken über LeftoverLocals zu machen. Doch für Fachleute in Branchen wie Cloud-Computing oder Inferenz könnte diese Schwachstelle fatal sein, insbesondere in Bezug auf die Sicherheit von LLMs und ML-Frameworks.

Quelle: Trail of Bits