GPUHammer可將NVIDIA GDDR6顯示卡AI模型準確率從80%驟降至0.1%

近日多倫多大學的研究團隊發現了一種名為GPUHammer的新型攻擊方式。

該攻擊能夠悄無聲息地篡改NVIDIA GDDR6顯示卡上的AI模型，導致其準確率從80%驟降至0.1%，幸運的是NVIDIA已經搶先發布了關於如何減輕這種情況所涉及風險的指南。GPUHammer是Rowhammer比特翻轉攻擊的一個版本，原理在於現代記憶體晶片的高密度佈局，當重複讀寫某一行記憶體單元時，會產生電氣干擾，從而導致鄰近行的位元位發生翻轉。這種位元位翻轉可能會改變儲存在記憶體中的數據，例如數值、指令或神經網路的權重，進而引發問題。

先前Rowhammer漏洞主要影響DDR4，而此次GPUHammer的出現，證明了該漏洞同樣可以在GDDR6上復現，而GDDR6是許多現代NVIDIA顯示卡所採用的顯存類型。研究人員在NVIDIA RTX A6000顯示卡上進行了實驗，透過反覆錘擊記憶體單元，成功實現了位元位翻轉，進而破壞了訓練有素的AI模型，使其變得毫無用處。

這種攻擊無需直接存取用戶數據，只要攻擊者能夠在雲端環境或伺服器中與目標共享相同GPU，就有可能干擾目標的工作負載。這項漏洞涉及的範圍較廣，包括Ampere、Ada、Hopper和Turing架構的多款GPU，尤其是用於工作站和伺服器的機型。

NVIDIA已經發布了受影響型號的完整列表，並建議受影響的顯示卡啟用ECC（錯誤糾正碼）功能來緩解風險，GDDR7和HBM3內建了ECC因此能自動抵禦攻擊。

ECC功能透過添加冗餘，能夠偵測並修復此類位元位元翻轉錯誤，不過啟用ECC會導致機器學習任務效能下降約10%，可用記憶體減少約6% - 6.5%。使用者可以透過NVIDIA的命令列工具啟用ECC功能，命令為nvidia-smi -e 1，同時也可以透過nvidia-smi -q | grep ECC來檢查ECC是否已啟動。

消息來源