Apple、AMD、QualcommのAI GPUはすべて危険にさらされている

LeftoverLocals脆弱性を悪用するには、攻撃者は標的デバイスのオペレーティングシステムにアクセスする必要があります。攻撃に成功すると、攻撃者はGPUに割り当てられたローカルメモリから、本来アクセスできないはずのデータを抽出できます。

研究の著者らは、攻撃の仕組みを実証しました。AMD Radeon RX 7900 XT GPUを用いて、70億パラメータの大規模なLLaMA言語モデルを起動し、AIに質問を投げかけ、その答えを「聞く」という手法です。収集されたデータは、システムの実際の応答とほぼ完全に一致しました。さらに懸念されるのは、この攻撃に必要なコードはわずか10行未満だったことです。

Trail of Bitsは昨年夏、7社のGPUメーカーの11種類のチップを様々なソフトウェア環境でテストしたと述べています。LeftoverLocalsの脆弱性はAMD、Apple、QualcommのGPUで発見されましたが、Nvidia、Intel、ARMのGPUに存在するかどうかは判断できませんでした。

Appleの広報担当者はこの問題を認め、M3およびA17チップの脆弱性は修正済みであると述べました。つまり、以前のモデルは依然として脆弱です。一方、Qualcommは、顧客向けにセキュリティアップデートを配布中であると発表しました。AMDは、LeftoverLocalsの脆弱性を「選択的に軽減する」ソフトウェアアップデートを3月にリリースすると述べています。Googleも、AMDおよびQualcommチップを搭載したデバイス向けにChromeOSアップデートをリリースしたと発表しました。

しかし、Trail of Bitsは、エンドユーザーがこれらの更新されたソフトウェアオプションのすべてに容易にアクセスできるとは限らないと警告しています。チップメーカーは新しいファームウェアバージョンをリリースし、PCメーカーやコンポーネントメーカーはそれを自社の最新ソフトウェアバージョンに実装し、デバイスの最終ユーザーに出荷します。世界市場には多くのプレーヤーが存在するため、すべての関係者が連携して行動するのは容易ではありません。LeftoverLocalsが機能するには、標的のデバイスへのある程度のアクセスが必要ですが、現代の攻撃は脆弱性チェーン全体にわたって実行されるため、ハッカーは複数の手法を組み合わせて悪用することが可能です。