Apple、AMD、Qualcomm の AI GPU はすべて危険にさらされています。

LeftoverLocals脆弱性を悪用するには、攻撃者は標的デバイスのオペレーティングシステムにアクセスする必要があります。攻撃に成功すると、ハッカーはGPUに割り当てられたローカルメモリから、本来アクセスできないデータを抽出できるようになります。

研究の著者らは、この攻撃がどのように機能するかを実証しました。AMD Radeon RX 7900 XT GPUを用いて70億のパラメータを持つ大規模なLLaMAモデルを起動し、AIに質問を投げかけ、その回答を「聞く」という手法です。得られたデータは、システムの実際の応答とほぼ完全に一致しました。さらに懸念されるのは、この攻撃に必要なコードはわずか10行未満だったことです。

Trail of Bitsは、昨年夏、7社のGPUメーカーの11種類のチップを様々なソフトウェア環境でテストしたと述べています。LeftoverLocalsの脆弱性はAMD、Apple、QualcommのGPUで発見されましたが、Nvidia、Intel、ARMのGPUに存在するかどうかは判断できませんでした。

Appleの広報担当者はこの問題を認め、M3およびA17チップの脆弱性は修正済みであり、以前のモデルは依然として影響を受ける可能性があると述べた。一方、Qualcommは顧客向けにセキュリティアップデートを配布中であると報告した。AMDは、LeftoverLocalsの脆弱性を「選択的に緩和」するためのソフトウェアアップデートを3月にリリースすると発表した。Googleも、AMDおよびQualcommチップを搭載したデバイス向けにChromeOSアップデートをリリースしたと報告した。

しかし、Trail of Bitsは、エンドユーザーがこれらのソフトウェアアップデートオプションをすべて容易に入手できるとは限らないと警告しています。チップメーカーは新しいファームウェアバージョンをリリースし、PCメーカーやコンポーネントメーカーはそれを自社の最新ソフトウェアバージョンに実装し、デバイスのエンドユーザーに配信します。世界市場には多数の参加者がいるので、すべての関係者の行動を調整するのは容易ではありません。LeftoverLocalsが動作するには標的デバイスへのある程度のアクセスが必要ですが、現代の攻撃は脆弱性チェーン全体にわたって実行されるため、ハッカーはさまざまな手法を組み合わせることで、脆弱性を最大限悪用することが可能です。