Bits que se voltean. Caos que estalla. Una app sin privilegios en tu GPU de NVIDIA acaba de generar un shell de root, gracias a GPUBreach.
Acércate un poco: investigadores de la Universidad de Toronto soltaron esta bomba —un ataque RowHammer afinado para GPU de gama alta. No se queda en corromper modelos de ML. Nada de eso. Escalada total de privilegios. Toma de control de la CPU. Todo mientras el IOMMU mira de brazos cruzados, sin poder hacer nada.
NVIDIA lleva años presumiendo de hardware seguro para IA. Ahora suena a chiste malo.
¿RowHammer en GPU? ¿Eso no es viejo?
RowHammer anda por ahí desde 2014 —ese fallo sigiloso en la DRAM donde machacar una fila hace que salten bits en la de al lado. Las CPU tienen defensas: ECC, TRR y todo el paquete. ¿Las GPU? Se rieron. Memoria GDDR6, paralelismo masivo —pensaban que eran inmunes.
Llega GPUHammer el julio pasado. Primer RowHammer real en tarjetas NVIDIA. La precisión de ML se desplomó un 80%. Molesto, pero controlado.
¿GPUBreach? Sube la apuesta. Corrompe las tablas de páginas de la GPU. Lectura y escritura arbitraria en la memoria GPU. Y luego —¡pum!— aprovecha bugs en el driver de NVIDIA para escribir en el kernel. Shell de root. Juego terminado.
«Corrompiendo las tablas de páginas de la GPU mediante volteos de bits en GDDR6, un proceso sin privilegios logra lectura y escritura arbitraria en la memoria GPU, y luego encadena eso en una escalada completa de privilegios en la CPU —generando un shell de root— explotando fallos de seguridad de memoria en el driver de NVIDIA», posteó Gururaj Saileshwar, uno de los autores, en LinkedIn.
El equipo de Saileshwar no se quedó ahí. Sortean el IOMMU —ese policía de hardware que vigila el DMA. ¿Cómo? Corrompen el estado del driver en buffers aprobados por IOMMU. Desatan escrituras fuera de límites. Kernel conquistado.
Ojo, gente de la nube. ¿GPU multiinquilino? ¿Clústeres HPC? Esto es su fin del mundo.
Y aquí va mi opinión picante —exclusiva de esta casa: ¿Recuerdan Meltdown/Spectre? Todos parchearon como locos y luego lo olvidaron. GPUBreach huele igual: los fabricantes de hardware prometen aislamiento, pero los errores de software lo echan todo por la borda. Apuesto fuerte: para 2026, plataformas de alquiler de GPU como Vast.ai exigirán ECC o se mueren, dejando fuera a los aficionados de IA.
¿GPUBreach de verdad ignora las protecciones del IOMMU?
Respuesta corta: sí. Y da pavor.
El rol del IOMMU —aislar periféricos, bloquear DMA rebeldes. ¿Desactívalo? Llueven ataques. Pero GPUBreach funciona con él encendido.
El truco: DMA de la GPU hacia sus propios buffers permitidos. Voltea bits ahí. El driver confía en ese estado —bugs de seguridad de memoria dejan que los atacantes desborden. Escrituras arbitrarias en el kernel a continuación. Shell de root que sale disparado.
Otros papers concurrentes apilan leña: GDDRHammer ajusta la apertura de tablas de páginas para r/w en memoria CPU. GeForge necesita IOMMU apagado, pero igual de feo. GPUBreach se lleva la corona por pura osadía.
«GPUBreach demuestra que no basta: corrompiendo el estado confiable del driver dentro de buffers permitidos por IOMMU, desatamos escrituras fuera de límites a nivel kernel —sorteando las protecciones del IOMMU por completo sin necesidad de desactivarlo», añadió Saileshwar.
¿Drivers de NVIDIA plagados de estos bugs? Sorprendente. O no —la seguridad de memoria es el talón de Aquiles eterno.
Las GPU de escritorio sin ECC. Portátiles igual. Sin defensas. Enchufa una app CUDA dudosa y te han rootado.
¿Por qué esto destroza la IA en la nube?
Visualízalo: instancias GPU compartidas impulsando tu clon de ChatGPT. Un atacante alquila un pedazo, martillea sin parar. Roba claves crypto de cuPQC. Baja la precisión de tu modelo. Escala al control del host.
Los investigadores lo demostraron: secretos filtrados, ML envenenado, compromiso total.
Ya vie
