Az Apple, az AMD és a Qualcomm mesterséges intelligenciával hajtott GPU-i is veszélyben vannak.

A LeftoverLocals sebezhetőség kihasználásához a támadónak hozzáféréssel kell rendelkeznie a céleszköz operációs rendszeréhez. Sikerrel a hacker a GPU-hoz lefoglalt helyi memóriából olyan adatokat kinyerhet, amelyekhez egyébként nem férne hozzá.

A tanulmány szerzői bemutatták, hogyan működik ez a támadás: Egy nagyméretű, 7 milliárd paraméterrel rendelkező LLaMA modellt indítottak el egy AMD Radeon RX 7900 XT GPU segítségével, kérdéseket tettek fel a mesterséges intelligenciának, és „meghallgatták” a válaszokat. A kapott adatok szinte tökéletesen megegyeztek a rendszer tényleges válaszával. Még aggasztóbb, hogy a támadás kevesebb mint tíz sornyi kódot igényelt.

A Trail of Bits kijelentette, hogy tavaly nyáron 7 GPU-gyártó 11 chipjét tesztelték különböző szoftverkörnyezetekben. A LeftoverLocals sebezhetőséget AMD, Apple és Qualcomm GPU-kban találták meg, de nem lehetett megállapítani, hogy az Nvidia, Intel vagy ARM GPU-k esetében is fennáll-e.

Az Apple szóvivője elismerte a problémát, és kijelentette, hogy a sebezhetőséget kijavították az M3 és A17 chipek esetében, ami azt jelenti, hogy a korábbi modellek továbbra is sebezhetőek maradnak. Eközben a Qualcomm arról számolt be, hogy folyamatban van a biztonsági frissítések ügyfeleinek történő kiosztása. Az AMD kijelentette, hogy márciusban kiadnak egy szoftverfrissítést a LeftoverLocals sebezhetőség „szelektív enyhítésére”. A Google arról is beszámolt, hogy kiadott egy ChromeOS frissítést az AMD és Qualcomm chipeket futtató eszközökhöz.

A Trail of Bits azonban arra figyelmeztet, hogy a végfelhasználók nem biztos, hogy könnyen hozzáférhetnek ezekhez a szoftverfrissítési lehetőségekhez. A chipgyártók új firmware-verziókat adnak ki, a PC- és alkatrészgyártók pedig ezeket beépítik saját legújabb szoftververzióikba, amelyeket aztán eljuttatnak az eszközök végfelhasználóihoz. A globális piacon részt vevők nagy száma miatt nem könnyű az összes fél tevékenységének összehangolása. Míg a LeftoverLocals működéséhez bizonyos szintű hozzáférésre van szükség a céleszközhöz, a modern támadásokat a teljes sebezhetőségi láncban hajtják végre, ami azt jelenti, hogy a hackerek a módszerek kombinálásával teljes mértékben kihasználhatják azokat.