مع زيادة عدد الشركات التي تعمل على تطوير أنظمة الذكاء الاصطناعي، فإنها تتجه بشكل متزايد إلى شرائح وحدة معالجة الرسومات (GPU) للحصول على قوة الحوسبة التي تحتاجها لتشغيل نماذج اللغات الكبيرة (LLMs) ومعالجة البيانات بسرعة على نطاق واسع. بين معالجة ألعاب الفيديو والذكاء الاصطناعي، لم يكن الطلب على وحدات معالجة الرسوميات أعلى من أي وقت مضى، وتسارع شركات تصنيع الرقائق إلى تعزيز العرض. في النتائج الجديدة التي صدرت اليوم، يسلط الباحثون الضوء على ثغرة أمنية في العديد من العلامات التجارية ونماذج وحدات معالجة الرسومات السائدة – بما في ذلك شرائح Apple وQualcomm وAMD – والتي قد تسمح للمهاجم بسرقة كميات كبيرة من البيانات من ذاكرة وحدة معالجة الرسومات.
لقد أمضت صناعة السيليكون سنوات في تحسين أمان وحدات المعالجة المركزية، أو وحدات المعالجة المركزية (CPU)، بحيث لا تقوم بتسريب البيانات في الذاكرة حتى عندما يتم تصميمها لتحسين السرعة. ومع ذلك، نظرًا لأن وحدات معالجة الرسومات مصممة لقوة معالجة الرسومات الأولية، لم يتم تصميمها بنفس الدرجة مع إعطاء خصوصية البيانات أولوية. ومع توسع الذكاء الاصطناعي التوليدي وتطبيقات التعلم الآلي الأخرى في استخدامات هذه الرقائق، يقول باحثون من شركة الأمن Trail of Bits ومقرها نيويورك إن نقاط الضعف في وحدات معالجة الرسوميات تشكل مصدر قلق متزايد الإلحاح.
قالت هايدي خلاف، المديرة الهندسية للذكاء الاصطناعي وضمان التعلم الآلي في Trail of Bits، لمجلة WIRED: “هناك مخاوف أمنية أوسع نطاقًا بشأن عدم كون وحدات معالجة الرسومات هذه آمنة كما ينبغي وتسريب كمية كبيرة من البيانات”. “نحن نتطلع إلى أي مكان يتراوح من 5 ميجابايت إلى 180 ميجابايت. في عالم وحدة المعالجة المركزية، حتى القليل من الأشياء يعد كثيرًا جدًا بحيث لا يمكن الكشف عنه.
لاستغلال الثغرة الأمنية، التي يطلق عليها الباحثون LeftoverLocals، سيحتاج المهاجمون إلى إنشاء قدر معين من الوصول إلى نظام التشغيل على جهاز الهدف. تم تصميم أجهزة الكمبيوتر والخوادم الحديثة خصيصًا لعزل البيانات حتى يتمكن العديد من المستخدمين من مشاركة نفس موارد المعالجة دون أن يتمكنوا من الوصول إلى بيانات بعضهم البعض. لكن هجوم LeftoverLocals يكسر هذه الجدران. إن استغلال الثغرة الأمنية من شأنه أن يسمح للمتسلل بسحب البيانات التي لا ينبغي أن يتمكن من الوصول إليها من الذاكرة المحلية لوحدات معالجة الرسومات الضعيفة، وكشف أي بيانات موجودة هناك لأخذها، والتي يمكن أن تشمل الاستعلامات والاستجابات التي تم إنشاؤها بواسطة LLMs بالإضافة إلى الأوزان تقود الاستجابة.
في إثبات المفهوم، كما هو موضح في الصورة المتحركة أدناه، يوضح الباحثون هجومًا حيث يطلب الهدف – الموضح على اليسار – من LLM Llama.cpp مفتوح المصدر تقديم تفاصيل حول مجلة WIRED. في غضون ثوانٍ، يقوم جهاز المهاجم – الموضح على اليمين – بجمع غالبية الاستجابة المقدمة من LLM من خلال تنفيذ هجوم LeftoverLocals على ذاكرة GPU الضعيفة. يستخدم برنامج الهجوم الذي أنشأه الباحثون أقل من 10 أسطر من التعليمات البرمجية.
في الصيف الماضي، اختبر الباحثون 11 شريحة من سبعة صانعين لوحدة معالجة الرسومات وأطر برمجة متعددة مقابلة. لقد اكتشفوا ثغرة LeftoverLocals في وحدات معالجة الرسومات من Apple وAMD وQualcomm، وأطلقوا كشفًا منسقًا بعيد المدى عن الثغرة الأمنية في سبتمبر بالتعاون مع مركز التنسيق US-CERT ومجموعة Khronos، وهي هيئة معايير تركز على الرسومات ثلاثية الأبعاد. التعلم الآلي، والواقع الافتراضي والمعزز.
لم يجد الباحثون دليلاً على أن وحدات معالجة الرسوميات Nvidia أو Intel أو Arm تحتوي على ثغرة أمنية في LeftoverLocals، لكن شركات Apple وQualcomm وAMD أكدت جميعها لـ WIRED أنها تأثرت. وهذا يعني أن الرقائق المعروفة مثل AMD Radeon RX 7900 XT وأجهزة مثل iPhone 12 Pro من Apple وM2 MacBook Air معرضة للخطر. ولم يجد الباحثون الخلل في وحدات معالجة الرسوميات Imagination التي اختبروها، لكن البعض الآخر قد يكون عرضة للخطر.
واعترف متحدث باسم شركة Apple بـ LeftoverLocals وأشار إلى أن الشركة قامت بشحن إصلاحات باستخدام أحدث معالجاتها M3 وA17، والتي كشفت عنها في نهاية عام 2023. وهذا يعني أن الثغرة الأمنية لا تزال موجودة على ما يبدو في الملايين من أجهزة iPhone وiPad وMacBooks الحالية التي تعتمد على على الأجيال السابقة من أبل السيليكون. في 10 يناير، أعاد باحثو Trail of Bits اختبار الثغرة الأمنية على عدد من أجهزة Apple. ووجدوا أن جهاز M2 MacBook Air من شركة Apple لا يزال عرضة للخطر، ولكن يبدو أن جهاز iPad Air 3rd Generation A12 قد تم تصحيحه.
