ישנם כמה יתרונות עיקריים להפעלת עומסי עבודה בינה מלאכותית באופן מקומי, אך היזהר – ניתן לנצל פגיעות שהתגלתה לאחרונה כדי להשיג שאריות נתונים ממעבדי גרפי אפל, AMD, Qualcomm ו-Imagination Technologies הפגיעים.
כפי שדווח על ידי BleepingComputer, פגם האבטחה החדש הזה (בעקבותיו כ-CVE-2023-4969) זכה לכינוי LeftoverLocals לאחר שהתגלה על ידי חוקרי האבטחה טיילר סורנסן והיידי חלאף ב-Trail of Bits.
בעיקרו של דבר, פגם זה מאפשר שחזור נתונים ממעבדי GPU מושפעים המריצים מודלים של שפות גדולות (LLMs) ותהליכי למידת מכונה באופן מקומי. בעוד שהאקר יזדקק לגישה פיזית ל-GPU פגיע במערכת שמפעילה עומסי עבודה של AI כדי לנצל את הפגם הזה, שיטת ההתקפה החדשה הזו עדיין מדאיגה.
בין אם אתה מפעיל דגמי בינה מלאכותית בעצמך או סתם מודאג מהסכנות הנשקפות מ-AI, הנה כל מה שאתה צריך לדעת על LeftoverLocals, כולל אם כבר יש תיקון לפגם זה במכשירים שלך.
חילוץ נתוני AI שנשארו ממעבדי GPU פגיעים
לפי פוסט בבלוג מ-Trail of Bits, פגם האבטחה הזה נובע מהעובדה שכמה מסגרות GPU לא מבודדות לחלוטין את הזיכרון שלהן. ככזה, קרנל אחד הפועל על מחשב פגיע יכול לקרוא את הערכים המאוחסנים בזיכרון המקומי שנכתבו על ידי ליבה אחרת.
חוקרי האבטחה של Trail of Bits מסבירים גם שתוקף רק צריך להריץ אפליקציית מחשוב של GPU כמו OpenCL, Vulkan או Metal כדי לקרוא נתונים שהושארו בזיכרון המקומי של GPU על ידי משתמש אחר. הדבר נעשה על ידי "כתיבת ליבת GPU המשליכה זיכרון מקומי לא מאותחל", על פי החוקרים.
הנתונים המשוחזרים הללו יכולים לחשוף כל מיני מידע רגיש מחישובים של הקורבן תוך הפעלת מודלים של AI באופן מקומי, כולל כניסות מודל, פלטים, משקלים וחישובי ביניים.
חוקרי האבטחה ב-Trail of Bits לקחו את הדברים צעד קדימה על ידי יצירת הוכחת קונספט (זמינה ב-GitHub) המדגימה כיצד ניתן לנצל את הפגיעות LeftoverLocals כדי לשחזר 5.5MB של נתונים לכל הפעלת GPU, אם כי הכמות המדויקת של הנתונים המשוחזרים תלויה על מסגרת ה-GPU. לדוגמה, ב-AMD Radeon RX 7900 XT GPU המריץ את הקוד הפתוח llama.cpp LLM, תוקף יכול לשחזר עד 181MB של שאריות של נתוני AI לכל שאילתה. זה די והותר כדי לשחזר תגובות מ-LLM עם דיוק גבוה שיאפשר לתוקף לדעת בדיוק על מה אתה מדבר עם ה-AI המדובר.
ייתכן שהמכשירים שלך כבר מתוקנים
כש-Trail of Bits הגיע לאפל, AMD, Qualcomm ו-Imagination Technologies עוד בספטמבר, חברות רבות כבר פרסמו תיקונים כדי לטפל בפגם זה או שנמצאות כעת בתהליך לעשות זאת.
ראוי גם לציין שבעוד שה-MacBook M2 וה-iPhone 12 Pro פגיעים, קו ה-iPhone 15 של אפל כמו גם ה-MacBook M3 ומחשבים ניידים ומחשבים אחרים המופעלים על ידי M3 אינם מושפעים.
על פי עלון אבטחה של AMD, חלק מדגמי ה-GPU שלה עדיין פגיעים אך המהנדסים שלו עובדים על תיקון. כמו כן, קוואלקום פרסמה תיקון בקושחה גרסה 2.0.7 שלה הפונה ל-LeftoverLocals בחלק מהשבבים אך לא באחרים. בינתיים, בעוד ש-Imagination Technologies פרסמה תיקון בדצמבר של השנה שעברה עם DDK v23.3, גוגל הזהירה החודש שחלק מה-GPUs שלה עדיין פגיעים לפגם זה. למרבה המזל, Intel, Nvidia ו-ARM GPUs אינם מושפעים כלל מ-LeftoverLocals.
עבור GPUs שעדיין פגיעים, Trail of Bits מציע שהחברות שייצרו אותם יישמו מנגנון ניקוי זיכרון מקומי אוטומטי בין קריאות ליבה, מכיוון שזה מבודד כל מידע רגיש שנכתב על ידי תהליך בודד. עם זאת, זה עשוי להשפיע על הביצועים. עם זאת, בהתחשב בחומרת הפגם של LeftoverLocals, הפשרה הזו עשויה להיות שווה את זה.
סביר להניח שנלמד יותר על LeftoverLocals מכיוון שיצרני GPU עובדים כדי לתקוע את הפגם הזה אחת ולתמיד.
