Es gibt einige große Vorteile KI-Workloads lokal ausführen, Aber Vorsicht: Eine neu entdeckte Schwachstelle kann ausgenutzt werden, um übrig gebliebene Daten von anfälligen GPUs von Apple, AMD, Qualcomm und Imagination Technologies abzurufen.
Wie berichtet von BleepingComputerdiese neue Sicherheitslücke (verfolgt als CVE-2023-4969) wurde „LeftoverLocals“ genannt, nachdem es von den Sicherheitsforschern Tyler Sorensen und Heidy Khlaaf bei Trail of Bits entdeckt wurde.
Im Wesentlichen ermöglicht dieser Fehler die Datenwiederherstellung von betroffenen GPUs, auf denen große Sprachmodelle ausgeführt werden (LLMs) und maschinelle Lernprozesse lokal. Während ein Hacker physischen Zugriff auf eine anfällige GPU auf einem System mit KI-Workloads benötigen würde, um diesen Fehler auszunutzen, ist diese neue Angriffsmethode immer noch besorgniserregend.
Unabhängig davon, ob Sie selbst KI-Modelle lokal ausführen oder sich einfach nur Sorgen über die von KI ausgehenden Gefahren machen, finden Sie hier alles, was Sie über LeftoverLocals wissen müssen, einschließlich der Frage, ob es für Ihre Geräte bereits eine Lösung für diesen Fehler gibt oder nicht.
Laut a Blogeintrag Laut Trail of Bits ergibt sich diese Sicherheitslücke aus der Tatsache, dass einige GPU-Frameworks ihren Speicher nicht vollständig isolieren. Daher könnte ein Kernel, der auf einem anfälligen Computer läuft, die im lokalen Speicher gespeicherten Werte lesen, die von einem anderen Kernel geschrieben wurden.
Die Sicherheitsforscher von Trail of Bits erklären außerdem, dass ein Angreifer lediglich eine GPU-Rechenanwendung ausführen muss, z OpenCL, Vulkan oder Metal um Daten zu lesen, die ein anderer Benutzer im lokalen Speicher einer GPU hinterlassen hat. Dies geschieht laut den Forschern durch „das Schreiben eines GPU-Kernels, der nicht initialisierten lokalen Speicher ausgibt“.
Diese wiederhergestellten Daten können alle möglichen sensiblen Informationen aus den Berechnungen eines Opfers offenbaren, während KI-Modelle lokal ausgeführt werden, einschließlich Modelleingaben, -ausgaben, Gewichtungen und Zwischenberechnungen.
Die Sicherheitsforscher von Trail of Bits gingen noch einen Schritt weiter und erstellten einen Proof of Concept (verfügbar auf GitHub), die zeigt, wie die Schwachstelle LeftoverLocals ausgenutzt werden kann, um 5,5 MB Daten pro GPU-Aufruf wiederherzustellen, wobei die genaue Menge der wiederhergestellten Daten vom GPU-Framework abhängt. Zum Beispiel auf einem AMD Radeon RX 7900 XT GPU Durch die Ausführung des Open-Source-LLM llama.cpp könnte ein Angreifer bis zu 181 MB übrig gebliebener KI-Daten pro Abfrage wiederherstellen. Dies ist mehr als ausreichend, um die Antworten eines LLM mit hoher Genauigkeit zu rekonstruieren, sodass ein Angreifer genau weiß, worüber Sie mit der betreffenden KI gesprochen haben.
Möglicherweise sind Ihre Geräte bereits gepatcht
Als Trail of Bits sich bereits im September an Apple, AMD, Qualcomm und Imagination Technologies wandte, haben viele Unternehmen bereits Patches zur Behebung dieses Fehlers veröffentlicht oder sind derzeit dabei, dies zu tun.
Es ist auch erwähnenswert, dass die MacBook M2 Und iPhone 12 Pro sind anfällig, die von Apple iPhone 15 Linie sowie die MacBook M3 und andere M3-betriebene Laptops und Computer sind nicht betroffen.
Laut a Sicherheitsbulletin Von AMD sind einige seiner GPU-Modelle immer noch anfällig, aber die Ingenieure arbeiten an einer Lösung. Ebenso hat Qualcomm einen Patch in seiner Firmware v2.0.7 veröffentlicht, der LeftoverLocals in einigen Chips behebt, in anderen jedoch nicht. Während Imagination Technologies im Dezember letzten Jahres mit DDK v23.3 einen Fix veröffentlichte, warnte Google diesen Monat, dass einige seiner GPUs immer noch anfällig für diesen Fehler seien. Glücklicherweise sind Intel-, Nvidia- und ARM-GPUs von LeftoverLocals überhaupt nicht betroffen.
Für GPUs, die immer noch anfällig sind, empfiehlt Trail of Bits jedoch, dass die Unternehmen, die sie herstellen, einen automatischen Mechanismus zum Löschen des lokalen Speichers zwischen Kernel-Aufrufen implementieren, da dadurch alle sensiblen Daten, die von einem einzelnen Prozess geschrieben werden, isoliert werden. Dies kann jedoch Auswirkungen auf die Leistung haben. Angesichts der Schwere des LeftoverLocals-Fehlers könnte sich dieser Kompromiss jedoch lohnen.
Wir werden wahrscheinlich mehr über LeftoverLocals erfahren, da GPU-Hersteller daran arbeiten, diesen Fehler ein für alle Mal im Keim zu ersticken.