關注我們 設為星標

EETOP

百萬芯片工程師專業技術論壇

官方微信號

黑客發現發現了名為GPUHammer的漏洞——一種Rowhammer（行錘攻擊）漏洞，可將英偉達顯卡上AI模型的準確率降至接近零！

英偉達AI “利器” 暗藏噩夢級漏洞

白帽黑客在英偉達 GPU 中發現了一個令人膽寒的漏洞，它可能給 AI 系統帶來災難性后果。這個被命名為 GPUHammer 的攻擊可將模型準確率從穩定的 80% 驟降至僅 0.02%，使其基本失去效用。多倫多大學的研究人員將其比作 “給神經網絡造成毀滅性腦損傷”。目前，該漏洞已在 RTX A6000 顯卡上測試驗證，但其他型號也可能面臨風險。英偉達的建議是？開啟一項防御功能 —— 但這可能導致系統性能下降至多 10%。讓我們來剖析這場硬件噩夢。

這不是軟件漏洞，而是物理層面的攻擊

別再想著那些隱蔽的代碼注入了：GPUHammer 是首個成功針對 GPU 內存的行錘（Rowhammer）攻擊。行錘原理是通過反復 “錘擊” 某一行內存，導致相鄰行的比特位發生翻轉（0 變 1 或 1 變 0），從而悄無聲息地破壞數據。多年來，這種手段一直困擾著 CPU 內存，而如今 GPU 也成了攻擊目標。在實驗中，研究團隊翻轉了深度學習模型權重中的關鍵比特 —— 例如在 FP16 浮點數中，一次微調就可能讓指數部分驟增 16 倍，直接導致性能崩盤。

他們在 AlexNet、VGG、ResNet 等經典模型上測試了該攻擊，結果顯示：哪怕只是單個比特翻轉，都可能引發系統徹底崩潰，將準確率從 80% 砍至 0.1%。試想一下，自動駕駛汽車誤讀停車標志、醫療 AI 誤診病情 —— 這些場景都可能成為現實。在共享云環境或虛擬桌面中，惡意用戶可能通過 “錘擊” 干擾他人的工作負載，破壞推理過程或緩存參數。這對我們日益依賴的 AI 基礎設施而言，無疑是沉重一擊。

英偉達的解決方案：ECC 糾錯登場，但代價不小

英偉達并未對該漏洞坐視不理，其已發布安全公告，敦促用戶在支持的 GPU 上啟用錯誤校正碼（ECC）。ECC 通過為數據附加額外的校驗位，可自動檢測并修復單比特翻轉；但對于雙比特翻轉，它只能發出警告而無法修復。問題在于：系統出廠時往往默認關閉 ECC，因為它會額外占用 6.5% 的內存并降低性能。以 A6000 為例，啟用 ECC 后帶寬將下降 12%，機器學習任務的速度會減慢 3%-10%。這是一場權衡：安全與速度，只能二選一。

游戲玩家可松口氣，你的游戲體驗不受影響

擔心下一局《堡壘之夜》會受影響？放輕松，研究人員表示并非所有 GPU 都同等脆弱。配置與設計的差異會產生顯著影響。例如，RTX 3080 和 A100 采用的 DRAM 架構可完全規避行錘攻擊，這與 A6000 的 GDDR 架構不同。展望未來，搭載片上 ECC 的新一代 GPU 可能默認具備單比特自動糾錯和雙比特檢測功能，這將大幅提升此類攻擊的實施難度。

在云端，英偉達的多實例 GPU（MIG）和機密計算技術通過隔離內存，可阻斷多租戶環境下的漏洞利用。但隨著 AI 能力不斷增強，隱蔽的側信道威脅也會隨之進化。GPUHammer 只是模型安全漫長攻防戰的序幕。

歡迎加入EETOP AI/GPU等微信群

ADC 射頻 Wifi 等芯片測試線下技術研討會

（8月5日 蘇州）