NVIDIA ha segnalato una nuova vulnerabilità nei suoi processori grafici, denominata GPUHammer. Questo attacco, basato sulla nota tecnica RowHammer, consente agli aggressori di corrompere i dati di altri utenti sfruttando le peculiarità della RAM delle schede video. Per la prima volta, è stata dimostrata la possibilità di implementare un attacco RowHammer su una GPU, anziché su processori tradizionali. Ad esempio, gli specialisti hanno utilizzato la scheda video NVIDIA A6000 con memoria GDDR6, riuscendo a modificare singoli bit nella memoria video. Questo può portare alla distruzione dell’integrità dei dati senza accesso diretto.

Di particolare preoccupazione è il fatto che anche un singolo bit flip possa compromettere l’accuratezza dell’intelligenza artificiale: un modello addestrato su ImageNet che in precedenza aveva dimostrato un’accuratezza dell’80% è stato attaccato fino a meno dell’1%. Questo impatto trasforma GPUHammer da un’anomalia tecnica in un potente strumento per distruggere l’infrastruttura di intelligenza artificiale, inclusa la sostituzione dei parametri interni del modello e l’avvelenamento dei dati di addestramento.

A differenza delle CPU, le GPU spesso non dispongono di meccanismi di sicurezza integrati come il controllo degli accessi a livello di istruzione o il controllo di parità. Questo le rende più vulnerabili ad attacchi di basso livello, soprattutto in ambienti di elaborazione condivisi come piattaforme cloud o desktop virtuali. In tali sistemi, un utente potenzialmente malintenzionato può interferire con le attività adiacenti senza avervi accesso diretto, creando rischi a livello di tenant.

Ricerche precedenti, inclusa la metodologia SpecHammer, combinavano le vulnerabilità RowHammer e Spectre per sferrare attacchi tramite esecuzione speculativa. GPUHammer prosegue questa tendenza, dimostrando che l’attacco è possibile anche in presenza di meccanismi di protezione come Target Row Refresh (TRR), precedentemente considerati una precauzione affidabile.

Le conseguenze di tali attacchi sono particolarmente pericolose per i settori con elevati requisiti di sicurezza e trasparenza, come la sanità, la finanza e i sistemi autonomi. L’introduzione di distorsioni incontrollate nell’IA può violare normative come la ISO/IEC 27001 o la legislazione europea in materia di IA, soprattutto quando le decisioni vengono prese sulla base di modelli corrotti. Per ridurre i rischi, NVIDIA consiglia di abilitare l’ECC (Error Correction Code) con il comando “nvidia-smi -e 1”. È possibile verificarne lo stato con “nvidia-smi -q | grep ECC”. In alcuni casi, potrebbe essere accettabile abilitare l’ECC solo per i nodi di training o per i carichi di lavoro critici. Vale inoltre la pena monitorare i log di sistema per le correzioni degli errori di memoria, in modo da rilevare tempestivamente eventuali attacchi.

Vale la pena notare che l’abilitazione dell’ECC riduce le prestazioni di apprendimento automatico sulla GPU A6000 di circa il 10% e riduce la memoria disponibile del 6,25%. Tuttavia, i modelli di GPU più recenti come H100 e RTX 5090 non sono interessati da questa vulnerabilità, poiché utilizzano la correzione degli errori on-chip.

Di ulteriore preoccupazione è un recente sviluppo correlato, chiamato CrowHammer, presentato da un team di NTT Social Informatics Laboratories e CentraleSupélec. In questo caso, l’attacco è riuscito a recuperare la chiave privata dell’algoritmo di firma Falcon post-quantistico selezionato per la standardizzazione dal NIST. I ricercatori hanno dimostrato che anche un singolo bit flip mirato può portare all’estrazione della chiave in presenza di diverse centinaia di milioni di firme, con più distorsioni e meno dati.

Nel complesso, tutto ciò evidenzia la necessità di riconsiderare gli approcci alla sicurezza dei modelli di intelligenza artificiale e dell’infrastruttura su cui operano. La semplice protezione a livello di dati non è più sufficiente: dobbiamo tenere conto delle vulnerabilità che emergono a livello hardware, fino all’architettura della memoria video.

L'articolo GPUHammer: Attacchi hardware sulle GPU NVIDIA portano alla compromissione dei modelli di AI proviene da il blog della sicurezza informatica.