Биты переворачиваются. Хаос разрастается. Непривилегированное приложение на GPU NVIDIA только что породило root-шелл — спасибо GPUBreach.
Расширим картину: исследователи из Университета Торонто сбросили эту бомбу — атака RowHammer, заточенная под топовые GPU. Не просто порча ML-моделей. Нет. Полная эскалация привилегий. Захват CPU. И IOMMU смотрит в пустоту, беспомощная.
NVIDIA годами пиарила свои безопасные ИИ-железки. Теперь это выглядит смешно.
А RowHammer на GPU? Это же старая песня?
RowHammer тусуется с 2014-го — та хитрая дыра в DRAM, когда долбёж одной строки переворачивает биты в соседней. На CPU ввели защиты: ECC, TRR и прочее. GPU? Фыркнули. Память GDDR6, бешеный параллелизм — посчитали себя неуязвимыми.
В прошлом июле выкатился GPUHammer. Первая настоящая RowHammer на картах NVIDIA. Точность ML рухнула на 80%. Раздражает, но локально.
GPUBreach идёт дальше. Портит таблицы страниц GPU. Произвольное чтение/запись в память GPU. А потом — ба-бах — использует баги драйвера NVIDIA для записи в ядро. Root-шелл. Всё, приплыли.
«Переворачивая биты GDDR6 в таблицах страниц GPU, непривилегированный процесс получает произвольный доступ к чтению/записи в память GPU, а затем цепляет это к полной эскалации привилегий на CPU — с запуском root-шелла — эксплуатируя баги безопасности памяти в драйвере NVIDIA», — написал в LinkedIn Гурурай Сайлешвар, один из авторов.
Команда Сайлешвара не остановилась. Обходит IOMMU — того аппаратного копа, что держит DMA в узде. Как? Портит состояние драйвера в буферах, одобренных IOMMU. Запускает выход за границы. Ядро в кармане.
Облачники, внимание. Многопользовательские GPU? HPC-кластеры? Ваш апокалипсис.
А вот моя горячая оценка — эксклюзив для этого издания: помните Meltdown/Spectre? Все в панике патчили, а потом забыли. GPUBreach повторяет: железники клянутся изоляцией, софтверные косяки всё рушат. Смелый прогноз? К 2026-му платформы вроде Vast.ai обяжут ECC под страхом смерти, выдавливая мелких ИИ-любителей.
GPUBreach правда игнорирует IOMMU?
Коротко: да. И это пугает.
IOMMU должна изолировать периферию, блокировать кривой DMA. Выруби её — атак полно. Но GPUBreach работает с включённой.
Фишка: DMA GPU в свои разрешённые буферы. Перевернуть биты там. Драйвер доверяет этому состоянию — баги безопасности памяти позволяют переполнить. Произвольные записи в ядро. Root-шелл выскакивает, как попкорн.
Параллельные работы нагнетают: GDDRHammer меняет апертуру таблицы страниц для r/w CPU-памяти. GeForge требует вырубить IOMMU, но всё равно гадость. GPUBreach берёт за наглость.
«GPUBreach показывает: этого мало. Портя доверенное состояние драйвера в буферах IOMMU, мы запускаем выход за границы на уровне ядра — полностью обходя защиты IOMMU без отключения», — добавил Сайлешвар.
Драйверы NVIDIA кишат такими багами? Шок. Или нет — безопасность памяти — вечная ахиллесова пята.
Настольные GPU без ECC. Ноуты тоже. Защит нет. Вставьте сомнительный CUDA-приложение — и вы в руках у хакера.
Почему это бьёт по облачному ИИ?
Представьте: общие GPU-инстансы качают вашего клона ChatGPT. Атакующий арендует кусок, долбит. Тырит криптоключи из cuPQC. Портит точность модели. Захватывает хост.
Исследователи показали: утечки секретов, отравление ML, полный компромисс.
Корпоративный спин на подходе — NVIDIA скажет «предпринимательские карты с ECC». Мило. А потребительские? Дата-центры с миксом задач? Уязвимы.
ECC не панацея. ECCploit, ECC.fail — мультибитовые флипы плюют на неё. Учёные предупреждают: два+ флипа — и тихая порча повсюду.
Что чинить? Прошивку? Драйверы? TRR для GDDR6? Удачи с миллиардами карт.
История повторяется: RowHammer прорывается сквозь каждую защиту. GPU — новая граница, и она нараспашку.
NVIDIA, ваш пиар-отдел в поту. «Безопасно по дизайну»? Дизайньте лучше.
Другие GPU-молоты в деле
GDDRHammer: меняет поле апертуры, читает/пишет всю память хоста.
GeForge: бьёт
