Da immer mehr Unternehmen die Entwicklung künstlicher Intelligenzsysteme vorantreiben, greifen sie zunehmend auf GPU-Chips (Graphics Processing Unit) zurück, um die Rechenleistung zu erhalten, die sie für die Ausführung großer Sprachmodelle (LLMs) und die schnelle Datenverarbeitung in großem Maßstab benötigen. Zwischen Videospielverarbeitung und KI war die Nachfrage nach GPUs noch nie so hoch, und Chiphersteller bemühen sich, das Angebot zu erhöhen. In neuen Erkenntnissen, die heute veröffentlicht wurden, sind es die Forscher jedoch Hervorhebung einer Schwachstelle bei mehreren Marken und Modellen gängiger GPUs– darunter Apple-, Qualcomm- und AMD-Chips –, die es einem Angreifer ermöglichen könnten, große Datenmengen aus dem Speicher einer GPU zu stehlen.
Die Siliziumindustrie hat Jahre damit verbracht, die Sicherheit von Zentraleinheiten oder CPUs zu verbessern, damit diese keine Daten in den Speicher verlieren, selbst wenn sie auf Geschwindigkeitsoptimierung ausgelegt sind. Da GPUs jedoch auf reine Grafikverarbeitungsleistung ausgelegt sind, wurde bei ihrer Architektur der Datenschutz nicht im gleichen Maße berücksichtigt. Da generative KI und andere Anwendungen des maschinellen Lernens jedoch die Einsatzmöglichkeiten dieser Chips erweitern, haben Forscher des in New York ansässigen Sicherheitsunternehmens entschieden Spur der Bits sagen, dass Schwachstellen in GPUs ein immer dringlicheres Problem darstellen.
„Es bestehen umfassendere Sicherheitsbedenken darüber, dass diese GPUs nicht so sicher sind, wie sie sein sollten, und dass erhebliche Datenmengen verloren gehen“, sagt Heidy Khlaaf, technische Leiterin für KI und maschinelle Lernsicherheit bei Trail of Bits, gegenüber WIRED. „Wir rechnen mit Größen zwischen 5 Megabyte und 180 Megabyte. In der CPU-Welt ist selbst ein bisschen zu viel, um es preiszugeben.“
Um die Schwachstelle auszunutzen, nennen die Forscher Übrig gebliebene Einheimische, müssten Angreifer bereits einen gewissen Betriebssystemzugriff auf dem Gerät eines Ziels eingerichtet haben. Moderne Computer und Server sind speziell darauf ausgelegt, Daten zu isolieren, sodass mehrere Benutzer dieselben Verarbeitungsressourcen gemeinsam nutzen können, ohne auf die Daten der anderen zugreifen zu können. Doch ein LeftoverLocals-Angriff reißt diese Mauern ein. Das Ausnutzen der Schwachstelle würde es einem Hacker ermöglichen, Daten, auf die er nicht zugreifen sollte, aus dem lokalen Speicher anfälliger GPUs zu extrahieren und so alle Daten offenzulegen, die dort gerade zur Verfügung stehen, darunter auch von LLMs generierte Abfragen und Antworten Gewichte steuern die Reaktion.
In ihrem konzeptioneller BeweißWie im folgenden GIF zu sehen ist, demonstrieren die Forscher einen Angriff, bei dem ein Ziel (siehe links) das Open-Source-LLM Llama.cpp auffordert, Details über das WIRED-Magazin bereitzustellen. Innerhalb von Sekunden sammelt das Gerät des Angreifers (siehe rechts) den Großteil der vom LLM bereitgestellten Antwort, indem es einen LeftoverLocals-Angriff auf den anfälligen GPU-Speicher durchführt. Das von den Forschern erstellte Angriffsprogramm verwendet weniger als 10 Codezeilen.
Ein Angreifer (rechts) nutzt die Schwachstelle LeftoverLocals aus, um LLM-Gespräche abzuhörenVideo: Spur der Bits
Im vergangenen Sommer testeten die Forscher 11 Chips von sieben GPU-Herstellern und mehrere entsprechende Programmier-Frameworks. Sie fanden die LeftoverLocals-Schwachstelle in GPUs von Apple, AMD und Qualcomm und starteten im September in Zusammenarbeit mit dem eine weitreichende koordinierte Offenlegung der Schwachstelle US-CERT-Koordinierungszentrum und die Khronos Group, ein Standardisierungsgremium mit Schwerpunkt auf 3D-Grafik, maschinellem Lernen sowie virtueller und erweiterter Realität.
Die Forscher fanden keine Hinweise darauf, dass Nvidia-, Intel- oder Arm-GPUs die LeftoverLocals-Schwachstelle enthalten, aber Apple, Qualcomm und AMD bestätigten gegenüber WIRED, dass sie betroffen sind. Damit sind bekannte Chips wie die AMD Radeon RX 7900 XT und Geräte wie Apples iPhone 12 Pro und M2 MacBook Air angreifbar. Die Forscher fanden den Fehler nicht in den von ihnen getesteten Imagination-GPUs, andere könnten jedoch anfällig sein.
Ein Apple-Sprecher bestätigte LeftoverLocals und stellte fest, dass das Unternehmen Korrekturen für seine neuesten M3- und A17-Prozessoren ausgeliefert habe, die es Ende 2023 vorgestellt habe. Dies bedeutet, dass die Schwachstelle offenbar immer noch in Millionen bestehender iPhones, iPads und MacBooks vorhanden ist, die darauf angewiesen sind auf früheren Generationen von Apple-Silizium. Am 10. Januar testeten die Forscher von Trail of Bits die Schwachstelle auf mehreren Apple-Geräten erneut. Sie stellten fest, dass Apples M2 MacBook Air immer noch anfällig war, das iPad Air der 3. Generation A12 jedoch offenbar gepatcht wurde.