GPUBreach: kaip vienas bitų apvertimas GPU atmintyje gali sužlugdyti visą pagrindinę sistemą

Vienas bitų apvertimas, įvykęs mikroskopiniuose vaizdo plokštės tranzistoriuose, dabar gali suteikti užpuolikui visišką administratoriaus kontrolę virš daugybę milijonų dolerių kainuojančio serverio. Nors kibernetinio saugumo pramonė ilgą laiką laikė GPU (vaizdo procesorių) aukšto našumo „smėlio dėže“, skirta DI ir atvaizdavimui, nauji tyrimai rodo, kad ši smėlio dėžė turi slaptas duris, vedančias tiesiai į operacinės sistemos širdį. Artėjančiame 47-ajame „IEEE Symposium on Security & Privacy“ (Oakland 2026) simpoziume Toronto universiteto tyrėjai pristatys „GPUBreach“ – sudėtingą ataką, kuri išnaudoja atminties pažeidimus, kad gautų „root“ lygio prieigą pagrindinėse sistemose.

Šis atradimas žymi reikšmingą eskalaciją „Rowhammer“ atakų istorijoje. Istoriškai „Rowhammer“ buvo laikomas CPU valdomos DRAM atminties ypatumu, kai greita prieiga prie atminties eilučių sukeldavo elektros nuotėkį, apverčiantį bitus gretimose eilutėse. „GPUBreach“ įrodo, kad šiuolaikiniuose GPU naudojama spartioji GDDR6 atmintis yra ne tik pažeidžiama, bet ir gali būti naudojama kaip tikslus įrankis sisteminiam įsilaužimui. Užkulisiuose šis tyrimas paverčia aparatinės įrangos nestabilumą chirurginiu smūgiu prieš branduolį.

GPU pagrįsto perėmimo anatomija

Norėdami suprasti, kodėl „GPUBreach“ yra tokia galinga, turime pažvelgti į architektūrinį lygmenį, kaip GPU valdo savo atmintį. Skirtingai nuo ankstesnių GPU pagrįstų „Rowhammer“ variantų, tokių kaip „GPUHammer“, kurie daugiausia dėmesio skyrė mašininio mokymosi modelių tikslumo mažinimui, „GPUBreach“ taikosi į puslapių lentelės įrašus (angl. Page Table Entries, PTE). Šie įrašai iš esmės yra žemėlapis, kurį aparatinė įranga naudoja tam, kad žinotų, kokie duomenys priklauso konkrečiam procesui.

Atlikę NVIDIA patentuotos tvarkyklės elgsenos atvirkštinę inžineriją, tyrėjai nustatė, kad GPU puslapių lentelės dažnai priskiriamos gretimuose 2 MB regionuose. Naudodama suvienytą virtualią atmintį (UVM) ir laiko šalutinį kanalą, komanda sukūrė metodą, kaip tankiai užpildyti šiuos regionus, užtikrinant, kad jų kenkėjiškos puslapių lentelės fiziškai ribotųsi su eilutėmis, kurias jie ketino „kalti“ (angl. hammer). Kai PTE įvyksta bitų apvertimas, žemėlapis perbraižomas. Staiga užpuoliko procesas nebeapsiriboja savo atmintimi; jis gali nukreipti savo „žemėlapį“ į bet kurią kitą vietą GPU atmintyje, efektyviai perimdamas viso vykdymo konteksto kontrolę.

IOMMU apėjimas: šuolis į centrinį procesorių (CPU)

Ko gero, labiausiai nerimą keliantis „GPUBreach“ aspektas yra jos gebėjimas peršokti iš GPU į CPU. Šiuolaikinėse saugumo architektūrose IOMMU (įvesties-išvesties atminties valdymo blokas) veikia kaip VIP klubo apsauginis prie kiekvienų vidinių durų, teoriškai neleisdamas periferiniams įrenginiams, pavyzdžiui, GPU, pasiekti neautorizuotų sistemos RAM sričių. Tačiau „GPUBreach“ demonstruoja, kad šį apsauginį galima apgauti.

Manipuliuodamas specifiniais „apertūros bitais“ pažeistose GPU puslapių lentelėse, kompromituotas GPU gali inicijuoti tiesioginės atminties prieigos (DMA) įrašymą į CPU atminties sritis, kurias IOMMU aiškiai leidžia – pavyzdžiui, buferius, valdomus NVIDIA branduolio tvarkyklės. Kai tik užpuolikas įsitvirtina šiuose tvarkyklės valdomuose buferiuose, jis gali išnaudoti atminties saugos spragas pačioje tvarkyklėje. Tai sukelia rašymą už ribų (angl. out-of-bounds write), sukuriant savavališką branduolio rašymo primityvą. Galiausiai ši grandinė leidžia užpuolikui paleisti „root“ apvalkalą (shell) pagrindinėje sistemoje, paverčiant IOMMU apsaugą beverte, net jos neišjungiant.

Praktinės pasekmės dirbtiniam intelektui ir debesijai

Galutinio vartotojo požiūriu, ypač dirbančių DI ir tyrimų sektoriuose, rizika yra daugialypė. Tyrėjai įrodė, kad „GPUBreach“ gali būti naudojama išgauti slaptus raktus iš NVIDIA „cuPQC“ postkvantinės kriptografijos bibliotekos. Pasaulyje, kuriame lenktyniaujame siekdami apsaugoti duomenis nuo būsimų kvantinių grėsmių, raktų pavogimas iš GPU atminties šiandien yra skaudi realybė.

Be to, ši ataka kelia didelę grėsmę didžiųjų kalbos modelių (LLM) vientisumui. Užpuolikas galėtų slapta modifikuoti žemo lygio „cuBLAS“ instrukcijas, kad pablogintų modelio našumą arba, dar pavojingiau, nutekintų jautrius modelio svorius. Bendro naudojimo GPU aplinkose – šiuolaikinės debesų kompiuterijos pagrinde – tai įgalina prieigą prie duomenų tarp skirtingų procesų. Daugiabučio nuomininko tipo debesijos paslaugų teikėjui tai yra skaitmeninis naftos išsiliejimo atitikmuo; vieno kliento kompromituotos instancijos tarša gali persigerti į kiekvieno kito kliento, besidalijančio ta pačia aparatine įranga, duomenis.

Gynybos dilema: ar pakanka ECC?

Kai 2025 m. pabaigoje tyrėjai atskleidė šiuos radinius NVIDIA, atsakymas išryškino pavojingą spragą dabartinėje aparatinės įrangos apsaugoje. NVIDIA rekomenduoja įjungti klaidų taisymo kodo (ECC) atmintį serverių lygio aparatinėje įrangoje, pavyzdžiui, tyrime naudotoje RTX A6000. Iš esmės ECC skirta aptikti ir ištaisyti vieno bito apvertimus, veikiant kaip atspari pirmoji gynybos linija.

Tačiau praktiškai ECC nėra nedūžtantis skaitmeninis seifas. Jį gali įveikti kelių bitų apvertimai, o dar svarbiau – jo beveik visiškai nėra vartotojo lygio GPU, esančiuose nešiojamuosiuose ir staliniuose kompiuteriuose. Milijonams darbo stočių, kurias naudoja kūrėjai ir duomenų mokslininkai ir kurios neturi ECC palaikymo, šiuo metu nėra jokio visapusiško rizikos mažinimo būdo. Šios spragos lopymas nėra toks paprastas kaip skylių užtaisymas laivo korpuse; tam reikia iš esmės persvarstyti, kaip sąveikauja tvarkyklės ir aparatinė įranga.

Grėsmių aplinkos vertinimas

Kaip asmuo, praleidęs metus analizuodamas sudėtingas APT atakas ir bendraudamas su „baltųjų skrybėlių“ bendruomene, manau, kad „GPUBreach“ yra ypač žavinga, nes ji užpildo atotrūkį tarp teorinių aparatinės įrangos trūkumų ir praktinio jų išnaudojimo. Tai mums primena, kad saugumas yra tik toks stiprus, kokia stipri yra silpniausia aparatinės ir programinės įrangos grandis. Nors „Google“ pripažino problemos rimtumą skirdama premiją už klaidą, o NVIDIA atnaujina savo rekomendacijas, sisteminis „Rowhammer“ pobūdis reiškia, kad ši problema greičiausiai išliks ne vienerius metus.

Žvelgdami į grėsmių aplinką, privalome atsisakyti minties, kad aparatinės įrangos izoliacija yra absoliuti. Žengiame į erą, kurioje „žmogiškosios užkardos“ nepakanka; mums reikia aparatinės įrangos, kuri būtų saugi jau projektavimo stadijoje, ir programinės įrangos, kuri darytų prielaidą, kad po ja esanti aparatinė įranga gali meluoti.

Ką daryti toliau: iniciatyvus kontrolinis sąrašas

Jei valdote aukšto našumo skaičiavimo grupes arba jautrius DI darbo krūvius, negalite sau leisti laukti tobulo pataisymo. Štai žingsniai, kurių turėtumėte imtis šiandien:

• Atlikite aparatinės įrangos ECC auditą: Įsitikinkite, kad visuose GPU, esančiuose kritinės svarbos aplinkose, yra įjungtas ECC. Nors tai nėra panacėja, tai žymiai pakelia kartelę užpuolikui.
• Įdiekite detalų stebėjimą: Stebėkite neįprastus GPU tvarkyklių lūžius ar atminties klaidas. „GPUBreach“ bandymai dažnai palieka teismo ekspertizės pėdsakus apie nestabilumą prieš jiems pavykstant.
• Izoliuokite didelės vertės darbo krūvius: Debesijos aplinkose apsvarstykite galimybę naudoti „konfidencialios kompiuterijos“ instancijas arba tam skirtą aparatinę įrangą užduotims, susijusioms su jautriais kriptografiniais raktais arba patentuotais LLM svoriais.
• Religingai atnaujinkite tvarkykles: Nors „GPUBreach“ išnaudoja aparatinės įrangos klaidą, eskalacija į CPU priklauso nuo tvarkyklės pažeidžiamumų. NVIDIA branduolio tvarkyklės atnaujinimas yra būtinas norint nutraukti atakos grandinę.

„GPUBreach“ yra griežtas priminimas, kad kibernetinio saugumo pasaulyje pagrindas, ant kurio stovime – pati aparatinė įranga – dažnai yra ne toks tvirtas, kaip manome.

Šaltiniai

• Toronto universiteto mokslinis darbas: "GPUBreach: Achieving Root Access via GPU Rowhammer"
• IEEE Symposium on Security & Privacy (Oakland 2026) Proceedings
• NVIDIA Product Security Incident Response Team (PSIRT) Advisory Updates
• Google Vulnerability Reward Program (VRP) Disclosure Reports