Alors que de plus en plus d’entreprises accélèrent le développement de systèmes d’intelligence artificielle, elles se tournent de plus en plus vers les puces d’unité de traitement graphique (GPU) pour obtenir la puissance de calcul dont elles ont besoin pour exécuter des modèles de langage étendus (LLM) et traiter rapidement des données à grande échelle. Entre le traitement des jeux vidéo et l’IA, la demande de GPU n’a jamais été aussi élevée et les fabricants de puces se précipitent pour renforcer l’offre. Cependant, dans de nouvelles découvertes publiées aujourd’hui, les chercheurs mettent en évidence une vulnérabilité dans plusieurs marques et modèles de GPU grand public, notamment les puces Apple, Qualcomm et AMD, qui pourrait permettre à un attaquant de voler de grandes quantités de données dans la mémoire d’un GPU.
L’industrie du silicium a passé des années à affiner la sécurité des unités centrales de traitement, ou CPU, afin qu’elles ne perdent pas de données en mémoire, même lorsqu’elles sont conçues pour optimiser la vitesse. Cependant, étant donné que les GPU ont été conçus pour une puissance de traitement graphique brute, leur architecture n’a pas été conçue au même degré avec la confidentialité des données comme priorité. Alors que l’IA générative et d’autres applications d’apprentissage automatique élargissent l’utilisation de ces puces, les chercheurs de la société de sécurité Trail of Bits, basée à New York, affirment que les vulnérabilités des GPU constituent une préoccupation de plus en plus urgente.
« Il existe un problème de sécurité plus large concernant le fait que ces GPU ne sont pas aussi sécurisés qu’ils devraient l’être et qu’ils fuient une quantité importante de données », a déclaré à WIRED Heidy Khlaaf, directrice de l’ingénierie de Trail of Bits pour l’IA et l’apprentissage automatique. « Nous envisageons une capacité allant de 5 mégaoctets à 180 mégaoctets. Dans le monde des processeurs, même un peu, c’est trop à révéler.
Pour exploiter cette vulnérabilité, que les chercheurs appellent LeftoverLocals, les attaquants devraient déjà avoir établi un certain niveau d’accès au système d’exploitation sur l’appareil cible. Les ordinateurs et serveurs modernes sont spécialement conçus pour cloisonner les données afin que plusieurs utilisateurs puissent partager les mêmes ressources de traitement sans pouvoir accéder aux données des autres. Mais une attaque LeftoverLocals brise ces murs. L’exploitation de cette vulnérabilité permettrait à un pirate informatique d’exfiltrer des données auxquelles il ne devrait pas pouvoir accéder depuis la mémoire locale des GPU vulnérables, exposant ainsi toutes les données qui s’y trouvent, ce qui pourrait inclure les requêtes et les réponses générées par les LLM ainsi que les les poids qui déterminent la réponse.
Dans leur preuve de concept, comme le montre le GIF ci-dessous, les chercheurs démontrent une attaque dans laquelle une cible (illustré à gauche) demande au LLM Llama.cpp open source de fournir des détails sur le magazine WIRED. En quelques secondes, l’appareil de l’attaquant (illustré à droite) collecte la majorité de la réponse fournie par le LLM en effectuant une attaque LeftoverLocals sur la mémoire GPU vulnérable. Le programme d’attaque créé par les chercheurs utilise moins de 10 lignes de code.
L’été dernier, les chercheurs ont testé 11 puces de sept fabricants de GPU et plusieurs frameworks de programmation correspondants. Ils ont découvert la vulnérabilité LeftoverLocals dans les GPU d’Apple, AMD et Qualcomm et ont lancé une divulgation coordonnée de grande envergure de la vulnérabilité en septembre en collaboration avec le centre de coordination US-CERT et le groupe Khronos, un organisme de normalisation axé sur les graphiques 3D, les machines. l’apprentissage et la réalité virtuelle et augmentée.
Les chercheurs n’ont trouvé aucune preuve que les GPU Nvidia, Intel ou Arm contiennent la vulnérabilité LeftoverLocals, mais Apple, Qualcomm et AMD ont tous confirmé à WIRED qu’ils étaient concernés. Cela signifie que des puces bien connues comme l’AMD Radeon RX 7900 XT et des appareils comme l’iPhone 12 Pro et le MacBook Air M2 d’Apple sont vulnérables. Les chercheurs n’ont pas trouvé la faille dans les GPU Imagination qu’ils ont testés, mais d’autres pourraient être vulnérables.