Bits virando do avesso. Caos explodindo. Um app sem privilégios na sua GPU NVIDIA acabou de spawnar um shell root, cortesia do GPUBreach.
Dá um zoom out: Pesquisadores da Universidade de Toronto soltaram essa bomba — um ataque RowHammer afinadinho pra GPUs top de linha. Não é só bagunçando modelos de ML. Não. Escalada total de privilégios. Tomada da CPU. Tudo isso com o IOMMU de plateia, assistindo calado.
A NVIDIA vem há anos vendendo hardware de IA seguro. Agora é de dar risada.
Pera, RowHammer em GPU? Isso não é papo velho?
RowHammer rola desde 2014 — aquele bugzinho traiçoeiro da DRAM onde você martela uma linha e os bits da vizinha viram fumaça. CPUs têm defesas: ECC, TRR, o pacote completo. GPUs? Deram de ombros. Memória GDDR6, paralelismo insano — achavam que tavam imunes.
Aí veio o GPUHammer em julho passado. Primeiro RowHammer de verdade em placas NVIDIA. Precisão de ML despencou 80%. Chato, mas controlado.
GPUBreach? Ele sobe o nível. Corrompe tabelas de páginas da GPU. Leitura e escrita arbitrárias na memória da GPU. Aí — bum — explora bugs no driver NVIDIA pra escrever no kernel. Shell root. Fim de papo.
“Corrompendo tabelas de páginas da GPU via inversões de bits GDDR6, um processo sem privilégios consegue leitura e escrita arbitrárias na memória da GPU, e aí encadeia isso pra escalada total de privilégios na CPU — spawnando um shell root — explorando bugs de segurança de memória no driver NVIDIA”, postou Gururaj Saileshwar, um dos autores, no LinkedIn.
O time do Saileshwar não parou por aí. Dribla o IOMMU — o tira hardware que segura o DMA na rédea. Como? Corrompe o estado do driver em buffers aprovados pelo IOMMU. Dispara writes fora dos limites. Kernel na mão.
Galera da nuvem, fica esperta. GPUs multi-tenant? Clusters HPC? Essa é a sua hecatombe.
E minha opinião quente — exclusiva dessa casa: Lembra Meltdown/Spectre? Todo mundo patchou freneticamente e esqueceu. GPUBreach é eco disso: vendors de hardware prometem isolamento, burradas no software desfazem tudo. Aposta ousada? Até 2026, plataformas de aluguel de GPU tipo Vast.ai vão obrigar ECC ou quebram, expulsando os tinkerers de IA miúdos.
O GPUBreach Ignora Mesmo as Proteções do IOMMU?
Resposta curta: Sim. E é de arrepiar.
Trabalho do IOMMU — isolar periféricos, bloquear DMA maluco. Desliga ele? Ataques aos montes. Mas GPUBreach rola com ele ligado.
O pulo do gato: DMA da GPU pros próprios buffers permitidos. Inverte bits ali. Driver confia nesse estado — bugs de segurança de memória deixam o atacante overflowar. Writes arbitrários no kernel vêm na sequência. Shell root pipoca que nem soja.
Papers concorrentes empilham: GDDRHammer mexe no aperture de tabela de páginas pra r/w na memória da CPU. GeForge precisa IOMMU off, mas ainda é brabo. GPUBreach leva o prêmio pela ousadia pura.
“GPUBreach prova que não basta: corrompendo estado confiável do driver em buffers permitidos pelo IOMMU, a gente dispara writes fora dos limites no nível kernel — driblando as proteções do IOMMU sem precisar desligar nada”, completou Saileshwar.
Drivers NVIDIA cheios desses bugs? Surpresa. Ou não — segurança de memória é o calcanhar de Aquiles eterno.
GPUs de desktop sem ECC. Notebooks idem. Sem defesas. Encaixa um app CUDA duvidoso, e você tá rootado.
Por Que Isso Acerta em Cheio a IA na Nuvem?
Pensa na cena: Instâncias de GPU compartilhadas rodando seu clone de ChatGPT. Atacante aluga uma fatia, martela pra valer. Rouba chaves de crypto do cuPQC. Rebaixa a precisão do seu modelo. Escala pro controle do host.
Pesquisadores demonstraram: Segredos vazados, ML envenenado, comprometimento total.
Resposta corporativa na porta — NVIDIA vai dizer “placas enterprise têm ECC”. Fofo. Mas placas de consumidor? Data centers misturando workloads? Vulneráveis.
ECC não é à prova de bala mesmo. ECCploit, ECC.fail — flips múltiplos riem na cara. Pesquisadores alertam: Dois+
