MEHAU KULYK/Getty Images
A medida que más empresas intensifican el desarrollo de sistemas de inteligencia artificial, recurren cada vez más a chips de unidad de procesamiento de gráficos (GPU) para obtener la potencia informática que necesitan para ejecutar grandes modelos de lenguaje (LLM) y procesar datos rápidamente a escala masiva. Entre el procesamiento de videojuegos y la inteligencia artificial, la demanda de GPU nunca ha sido tan alta y los fabricantes de chips se apresuran a aumentar la oferta. Sin embargo, en nuevos hallazgos publicados hoy, los investigadores destacan una vulnerabilidad en múltiples marcas y modelos de GPU convencionales (incluidos los chips Apple, Qualcomm y AMD) que podrían permitir a un atacante robar grandes cantidades de datos de la memoria de una GPU.
La industria del silicio ha pasado años perfeccionando la seguridad de las unidades centrales de procesamiento, o CPU, para que no filtren datos en la memoria, incluso cuando están diseñadas para optimizar la velocidad. Sin embargo, dado que las GPU se diseñaron para una potencia de procesamiento de gráficos sin procesar, no se han diseñado en el mismo grado teniendo como prioridad la privacidad de los datos. Sin embargo, a medida que la IA generativa y otras aplicaciones de aprendizaje automático amplían los usos de estos chips, los investigadores de la firma de seguridad Trail of Bits, con sede en Nueva York, dicen que las vulnerabilidades en las GPU son una preocupación cada vez más urgente.
«Existe una preocupación de seguridad más amplia por el hecho de que estas GPU no sean tan seguras como deberían y filtren una cantidad significativa de datos», le dice a WIRED Heidy Khlaaf, directora de ingeniería de IA y garantía de aprendizaje automático de Trail of Bits. “Estamos considerando entre 5 megabytes y 180 megabytes. En el mundo de las CPU, incluso un poco es demasiado para revelar”.
Para explotar la vulnerabilidad, que los investigadores llaman LeftoverLocals, los atacantes necesitarían haber establecido una cierta cantidad de acceso al sistema operativo en el dispositivo del objetivo. Las computadoras y servidores modernos están diseñados específicamente para almacenar datos en silos, de modo que varios usuarios puedan compartir los mismos recursos de procesamiento sin poder acceder a los datos de los demás. Pero un ataque de LeftoverLocals derriba estos muros. Explotar la vulnerabilidad permitiría a un pirata informático extraer datos a los que no debería poder acceder desde la memoria local de las GPU vulnerables, exponiendo cualquier dato que esté allí para ser tomado, lo que podría incluir consultas y respuestas generadas por LLM, así como el pesos que impulsan la respuesta.
En su prueba de concepto, como se ve en el GIF a continuación, los investigadores demuestran un ataque en el que un objetivo (que se muestra a la izquierda) le pide al LLM Llama.cpp de código abierto que proporcione detalles sobre la revista WIRED. En cuestión de segundos, el dispositivo del atacante (que se muestra a la derecha) recopila la mayor parte de la respuesta proporcionada por el LLM al llevar a cabo un ataque LeftoverLocals en la memoria GPU vulnerable. El programa de ataque que crearon los investigadores utiliza menos de 10 líneas de código.
Un atacante (derecha) aprovecha la vulnerabilidad LeftoverLocals para escuchar conversaciones de LLM.
El verano pasado, los investigadores probaron 11 chips de siete fabricantes de GPU y múltiples marcos de programación correspondientes. Encontraron la vulnerabilidad LeftoverLocals en las GPU de Apple, AMD y Qualcomm y lanzaron una divulgación coordinada de gran alcance de la vulnerabilidad en septiembre en colaboración con el Centro de Coordinación US-CERT y el Grupo Khronos, un organismo de estándares centrado en gráficos 3D, máquinas. aprendizaje, y realidad virtual y aumentada.
Los investigadores no encontraron evidencia de que las GPU Nvidia, Intel o Arm contengan la vulnerabilidad LeftoverLocals, pero Apple, Qualcomm y AMD confirmaron a WIRED que se ven afectados. Esto significa que chips conocidos como el AMD Radeon RX 7900 XT y dispositivos como el iPhone 12 Pro y el MacBook Air M2 de Apple son vulnerables. Los investigadores no encontraron el defecto en las GPU Imagination que probaron, pero otras pueden ser vulnerables.