Alors que de plus en plus d’entreprises accélèrent le développement de systèmes d’intelligence artificielle, elles se tournent de plus en plus vers les puces d’unité de traitement graphique (GPU) pour obtenir la puissance de calcul dont elles ont besoin pour fonctionner. grands modèles de langage (LLM) et de traiter rapidement les données à grande échelle. Entre le traitement des jeux vidéo et l’IA, la demande de GPU n’a jamais été aussi élevée et les fabricants de puces se précipitent vers renforcer l’offre. Cependant, dans de nouvelles découvertes publiées aujourd’hui, les chercheurs mettant en évidence une vulnérabilité dans plusieurs marques et modèles de GPU grand public— notamment les puces Apple, Qualcomm et AMD — qui pourraient permettre à un attaquant de voler de grandes quantités de données dans la mémoire d’un GPU.
L’industrie du silicium a passé des années affiner la sécurité d’unités centrales de traitement, ou CPU, afin qu’ils ne perdent pas de données en mémoire même lorsqu’ils sont conçus pour optimiser la vitesse. Cependant, étant donné que les GPU ont été conçus pour une puissance de traitement graphique brute, leur architecture n’a pas été conçue au même degré avec la confidentialité des données comme priorité. Alors que l’IA générative et d’autres applications d’apprentissage automatique élargissent l’utilisation de ces puces, des chercheurs de la société de sécurité basée à New York Sentier des morceaux disent que les vulnérabilités des GPU constituent une préoccupation de plus en plus urgente.
« Il existe un problème de sécurité plus large concernant le fait que ces GPU ne sont pas aussi sécurisés qu’ils devraient l’être et qu’ils fuient une quantité importante de données », a déclaré à WIRED Heidy Khlaaf, directrice de l’ingénierie de Trail of Bits pour l’IA et l’apprentissage automatique. « Nous envisageons une capacité allant de 5 mégaoctets à 180 mégaoctets. Dans le monde des processeurs, même un peu, c’est trop à révéler.
Pour exploiter la vulnérabilité, que les chercheurs appellent Restes de locaux, les attaquants devraient déjà avoir établi un certain niveau d’accès au système d’exploitation sur l’appareil cible. Les ordinateurs et serveurs modernes sont spécialement conçus pour cloisonner les données afin que plusieurs utilisateurs puissent partager les mêmes ressources de traitement sans pouvoir accéder aux données des autres. Mais une attaque LeftoverLocals brise ces murs. L’exploitation de cette vulnérabilité permettrait à un pirate informatique d’exfiltrer des données auxquelles il ne devrait pas pouvoir accéder depuis la mémoire locale des GPU vulnérables, exposant ainsi toutes les données qui s’y trouvent, ce qui pourrait inclure les requêtes et les réponses générées par les LLM ainsi que les les poids qui déterminent la réponse.
Dans leurs preuve de concept, comme le montre le GIF ci-dessous, les chercheurs démontrent une attaque au cours de laquelle une cible (illustré à gauche) demande au LLM Llama.cpp open source de fournir des détails sur le magazine WIRED. En quelques secondes, l’appareil de l’attaquant (illustré à droite) collecte la majorité de la réponse fournie par le LLM en effectuant une attaque LeftoverLocals sur la mémoire GPU vulnérable. Le programme d’attaque créé par les chercheurs utilise moins de 10 lignes de code.
Un attaquant (à droite) exploite la vulnérabilité LeftoverLocals pour écouter les conversations LLMVidéo : Trail of Bits
L’été dernier, les chercheurs ont testé 11 puces de sept fabricants de GPU et plusieurs frameworks de programmation correspondants. Ils ont découvert la vulnérabilité LeftoverLocals dans les GPU d’Apple, AMD et Qualcomm et ont lancé une divulgation coordonnée de grande envergure de la vulnérabilité en septembre en collaboration avec le Centre de coordination US-CERT et le groupe Khronos, un organisme de normalisation axé sur les graphiques 3D, l’apprentissage automatique et la réalité virtuelle et augmentée.
Les chercheurs n’ont trouvé aucune preuve que les GPU Nvidia, Intel ou Arm contiennent la vulnérabilité LeftoverLocals, mais Apple, Qualcomm et AMD ont tous confirmé à WIRED qu’ils étaient concernés. Cela signifie que des puces bien connues comme l’AMD Radeon RX 7900 XT et des appareils comme l’iPhone 12 Pro et le MacBook Air M2 d’Apple sont vulnérables. Les chercheurs n’ont pas trouvé la faille dans les GPU Imagination qu’ils ont testés, mais d’autres pourraient être vulnérables.
Un porte-parole d’Apple a reconnu LeftoverLocals et a noté que la société avait fourni des correctifs avec son dernier M3 et les processeurs A17, qu’il a dévoilés fin 2023. Cela signifie que la vulnérabilité est apparemment toujours présente dans des millions d’iPhones, iPads et MacBooks existants qui dépendent des générations précédentes de silicium Apple. Le 10 janvier, les chercheurs de Trail of Bits ont retesté la vulnérabilité sur un certain nombre d’appareils Apple. Ils ont constaté que le MacBook Air M2 d’Apple était toujours vulnérable, mais que l’iPad Air 3e génération A12 semblait avoir été corrigé.
