Графические процессоры с искусственным интеллектом от Apple, AMD и Qualcomm находятся под угрозой

Для эксплуатации уязвимости LeftoverLocals злоумышленнику необходим доступ к операционной системе целевого устройства. В случае успеха злоумышленник может извлечь данные из локальной памяти, выделенной графическому процессору, к которой у него не должно быть доступа.

Авторы исследования продемонстрировали, как работает атака: они запустили большую языковую модель LLaMA с 7 миллиардами параметров, используя видеокарту AMD Radeon RX 7900 XT, задавали вопросы ИИ и «слушали» его ответы. Собранные данные практически полностью совпадали с реальными ответами системы. Что ещё более тревожно, для атаки потребовалось менее десяти строк кода.

Компания Trail of Bits сообщила, что прошлым летом она протестировала 11 чипов от семи производителей графических процессоров в различных программных средах. Уязвимость LeftoverLocals была обнаружена в графических процессорах AMD, Apple и Qualcomm, но определить, существовала ли она в графических процессорах Nvidia, Intel или ARM, не удалось.

Представитель Apple признал наличие проблемы и заявил, что уязвимость была устранена для чипов M3 и A17, а значит, более ранние модели всё ещё уязвимы. Тем временем, Qualcomm сообщила, что она находится в процессе распространения обновлений безопасности среди своих клиентов. AMD, со своей стороны, заявила, что в марте выйдет обновление программного обеспечения, которое «избирательно устраняет» уязвимость LeftoverLocals. Google также сообщила о выпуске обновления ChromeOS для устройств с чипами AMD и Qualcomm.

Однако Trail of Bits предупреждает, что конечные пользователи могут не иметь лёгкого доступа ко всем этим обновлённым функциям программного обеспечения. Производители чипов выпускают новые версии прошивок, а производители ПК и комплектующих внедряют их в свои последние версии программного обеспечения, которые затем отправляются конечному владельцу устройства. Учитывая большое количество участников на мировом рынке, координировать действия всех участников непросто. Хотя для работы LeftoverLocals требуется определённый уровень доступа к целевому устройству, современные атаки осуществляются по всей цепочке уязвимостей, поэтому хакеры могут эксплуатировать их, комбинируя методы.