Die KI-GPUs von Apple, AMD und Qualcomm sind alle in Gefahr

Um die LeftoverLocals-Sicherheitslücke auszunutzen, benötigt ein Angreifer Zugriff auf das Betriebssystem des Zielgeräts. Bei erfolgreichem Zugriff kann der Angreifer Daten aus dem lokalen Speicher der GPU extrahieren, auf die er keinen Zugriff haben sollte.

Die Autoren der Studie demonstrierten, wie der Angriff funktioniert: Sie starteten ein großes LLaMA-Sprachmodell mit 7 Milliarden Parametern auf einer AMD Radeon RX 7900 XT GPU, stellten der KI Fragen und „hörten“ sich die Antworten an. Die gesammelten Daten stimmten nahezu perfekt mit den tatsächlichen Antworten des Systems überein. Noch beunruhigender ist, dass der Angriff weniger als zehn Zeilen Code erforderte.

Trail of Bits gab an, im vergangenen Sommer elf Chips von sieben GPU-Herstellern in verschiedenen Softwareumgebungen getestet zu haben. Die LeftoverLocals-Sicherheitslücke wurde in GPUs von AMD, Apple und Qualcomm gefunden. Es ließ sich jedoch nicht feststellen, ob sie auch bei GPUs von Nvidia, Intel oder ARM existiert.

Ein Apple-Sprecher bestätigte das Problem und erklärte, die Schwachstelle sei für die M3- und A17-Chips behoben worden. Ältere Modelle seien also weiterhin anfällig. Qualcomm gab unterdessen bekannt, Sicherheitsupdates an seine Kunden zu verteilen. AMD kündigte seinerseits an, im März ein Software-Update zu veröffentlichen, das die LeftoverLocals-Schwachstelle gezielt behebt. Google gab ebenfalls bekannt, ein ChromeOS-Update für Geräte mit AMD- und Qualcomm-Chips veröffentlicht zu haben.

Trail of Bits warnt jedoch davor, dass Endnutzer möglicherweise keinen einfachen Zugriff auf alle aktualisierten Softwareoptionen haben. Chiphersteller veröffentlichen neue Firmware-Versionen, und PC- und Komponentenhersteller implementieren diese in ihre eigenen neuesten Softwareversionen, die dann an den Endnutzer des Geräts ausgeliefert werden. Bei so vielen Akteuren auf dem Weltmarkt ist es für alle Beteiligten nicht einfach, ihre Aktionen zu koordinieren. LeftoverLocals erfordert zwar einen gewissen Zugriff auf das Zielgerät, um zu funktionieren, doch moderne Angriffe werden über die gesamte Schwachstellenkette hinweg durchgeführt, sodass Hacker diese durch kombinierte Methoden ausnutzen können.