GPU AI dari Apple, AMD, dan Qualcomm semuanya berisiko.

Untuk mengeksploitasi kerentanan LeftoverLocals, penyerang harus memiliki akses ke sistem operasi pada perangkat target. Setelah berhasil, peretas dapat mengekstrak data dari memori lokal yang dialokasikan ke GPU yang seharusnya tidak dapat mereka akses.

Para penulis studi tersebut mendemonstrasikan cara kerja serangan ini: Mereka meluncurkan model LLaMA skala besar dengan 7 miliar parameter menggunakan GPU AMD Radeon RX 7900 XT, mengajukan pertanyaan kepada AI, dan "mendengarkan" jawabannya. Data yang diperoleh hampir sepenuhnya sesuai dengan respons aktual sistem. Yang lebih mengkhawatirkan, serangan tersebut hanya membutuhkan kurang dari sepuluh baris kode.

Trail of Bits menyatakan bahwa musim panas lalu, mereka menguji 11 chip dari 7 produsen GPU dalam berbagai lingkungan perangkat lunak. Kerentanan LeftoverLocals ditemukan pada GPU AMD, Apple, dan Qualcomm, tetapi tidak mungkin untuk menentukan apakah kerentanan tersebut ada pada GPU Nvidia, Intel, atau ARM.

Juru bicara Apple mengakui masalah tersebut dan menyatakan bahwa kerentanan telah diperbaiki untuk chip M3 dan A17, yang berarti model sebelumnya tetap rentan. Sementara itu, Qualcomm melaporkan sedang dalam proses mendistribusikan pembaruan keamanan kepada pelanggannya. AMD menyatakan bahwa pembaruan perangkat lunak akan dirilis pada bulan Maret untuk "secara selektif mengurangi" kerentanan LeftoverLocals. Google juga melaporkan telah merilis pembaruan ChromeOS untuk perangkat yang menjalankan chip AMD dan Qualcomm.

Namun, Trail of Bits memperingatkan bahwa pengguna akhir mungkin tidak mudah mendapatkan semua opsi pembaruan perangkat lunak ini. Produsen chip merilis versi firmware baru, dan produsen PC dan komponen mengimplementasikannya ke dalam versi perangkat lunak terbaru mereka sendiri, yang kemudian dikirimkan kepada pemilik akhir perangkat. Dengan banyaknya peserta di pasar global, mengoordinasikan tindakan semua pihak bukanlah hal yang mudah. ​​Meskipun LeftoverLocals memerlukan akses ke perangkat target untuk beroperasi, serangan modern dilakukan di seluruh rantai kerentanan, yang berarti peretas dapat mengeksploitasinya sepenuhnya dengan menggabungkan berbagai metode.