GPUBreach: kā viena bita maiņa GPU atmiņā var gāzt visu resursdatora sistēmu

Viena bita maiņa (bit flip), kas notiek grafiskās kartes mikroskopiskajos tranzistoros, tagad var piešķirt uzbrucējam pilnu administratīvo kontroli pār vairākus miljonus dolāru vērtu serveri. Lai gan kiberdrošības nozare GPU jau sen uzskata par augstas veiktspējas smilškasti (sandbox) mākslīgajam intelektam un renderēšanai, jauni pētījumi liecina, ka šai smilškastei ir slepenas lūkas, kas ved tieši uz operētājsistēmas sirdi. Gaidāmajā 47. IEEE drošības un privātuma simpozijā (Oakland 2026) Toronto Universitātes pētnieki iepazīstinās ar GPUBreach — sarežģītu uzbrukumu, kas izmanto atmiņas korupciju, lai iegūtu root līmeņa piekļuvi resursdatora sistēmām.

Šis atklājums iezīmē būtisku eskalāciju Rowhammer uzbrukumu vēsturē. Vēsturiski Rowhammer bija CPU pārvaldītās DRAM īpatnība, kur strauja piekļuve atmiņas rindām izraisīja elektrisko noplūdi, mainot bitus blakus esošajās rindās. GPUBreach pierāda, ka mūsdienu GPU atrodamā ātrdarbīgā GDDR6 atmiņa ir ne tikai ievainojama, bet to var izmantot kā precīzu rīku sistēmiskai kompromitēšanai. Aizkulisēs šis pētījums pārveido aparatūras nestabilitāti par ķirurģisku triecienu pret kodolu.

GPU bāzētas pārņemšanas anatomija

Lai saprastu, kāpēc GPUBreach ir tik spēcīgs, mums jāaplūko arhitektūras līmenis, kā GPU pārvalda savu atmiņu. Atšķirībā no iepriekšējām GPU bāzētajām Rowhammer iterācijām, piemēram, GPUHammer, kas galvenokārt koncentrējās uz mašīnmācīšanās modeļu precizitātes pazemināšanu, GPUBreach mērķē uz lapu tabulas ierakstiem (PTE — Page Table Entries). Šie ieraksti būtībā ir karte, ko aparatūra izmanto, lai zinātu, kurš datu fragments pieder kuram procesam.

Veicot NVIDIA patentētās draiveru darbības reverso inženieriju, pētnieki atklāja, ka GPU lapu tabulas bieži tiek piešķirtas blakus esošos 2 MB reģionos. Izmantojot vienoto virtuālo atmiņu (UVM) un laika sānu kanālu, komanda izstrādāja metodi, kā blīvi aizpildīt šos reģionus, nodrošinot, ka viņu ļaundabīgās lapu tabulas fiziski atrodas blakus rindām, kuras tie plānoja "āmurot". Kad PTE notiek bita maiņa, karte tiek pārzīmēta. Pēkšņi uzbrucēja process vairs nav ierobežots savā atmiņā; tas var vērst savu "karti" uz jebkuru citu vietu GPU atmiņā, efektīvi pārņemot kontroli pār visu izpildes kontekstu.

Apejot IOMMU: lēciens uz CPU

Iespējams, satraucošākais GPUBreach aspekts ir tā spēja pārlēkt no GPU uz CPU. Mūsdienu drošības arhitektūrās IOMMU (Input-Output Memory Management Unit) darbojas kā VIP kluba apsargs pie katrām iekšējām durvīm, teorētiski neļaujot perifērijas ierīcēm, piemēram, GPU, piekļūt neatļautām sistēmas RAM zonām. Tomēr GPUBreach pierāda, ka šo apsargu var apmānīt.

Manipulējot ar specifiskiem "apertūras bitiem" korumpētajās GPU lapu tabulās, kompromitētais GPU var uzsākt tiešās atmiņas piekļuves (DMA) rakstīšanu CPU atmiņas reģionos, kurus IOMMU skaidri atļauj — piemēram, buferos, kurus pārvalda NVIDIA kodola draiveris. Tiklīdz uzbrucējs ir nostiprinājies šajos draivera pārvaldītajos buferos, viņš var izmantot atmiņas drošības ievainojamības pašā draiverī. Tas izraisa rakstīšanu ārpus robežām, izveidojot patvaļīgu kodola rakstīšanas primitīvu. Galu galā šī ķēde ļauj uzbrucējam palaist root čaulu (shell) resursdatorā, padarot IOMMU aizsardzību par bezjēdzīgu, to pat neizslēdzot.

Reālā ietekme uz AI un mākoni

No galalietotāja perspektīvas, jo īpaši tiem, kas darbojas AI un pētniecības nozarēs, riski ir daudzpusīgi. Pētnieki demonstrēja, ka GPUBreach var izmantot, lai iegūtu slepenās atslēgas no NVIDIA cuPQC postkvantu kriptogrāfijas bibliotēkas. Pasaulē, kurā mēs cenšamies aizsargāt datus pret nākotnes kvantu draudiem, atslēgu nozagšana no GPU atmiņas jau šodien ir skarba realitāte.

Turklāt uzbrukums rada nopietnus draudus lielo valodu modeļu (LLM) integritātei. Uzbrucējs varētu slepeni modificēt zema līmeņa cuBLAS instrukcijas, lai pazeminātu modeļa veiktspēju vai, vēl bīstamāk, nopludinātu sensitīvus modeļa svarus. Koplietojamās GPU vidēs — mūsdienu mākoņskaitļošanas mugurkaulā — tas iespējo starpprocesu piekļuvi datiem. Vairāku īrnieku mākoņpakalpojumu sniedzējam tas ir digitāls naftas noplūdes ekvivalents; piesārņojums no viena klienta kompromitētās instances var iesūkties katra cita klienta datos, kas koplieto šo aparatūru.

Aizsardzības dilemma: vai ar ECC pietiek?

Kad pētnieki 2025. gada beigās atklāja šos atradumus NVIDIA, atbilde uzsvēra bīstamu plaisu pašreizējā aparatūras aizsardzībā. NVIDIA iesaka iespējot kļūdu labošanas koda (ECC) atmiņu serveru līmeņa aparatūrā, piemēram, pētījumā izmantotajā RTX A6000. Principā ECC ir izstrādāts, lai atklātu un labotu viena bita maiņas, darbojoties kā izturīga pirmā aizsardzības līnija.

Tomēr praksē ECC nav neiznīcināms digitālais seifs. To var pārslodzināt ar vairāku bitu maiņām, un, kas ir vēl svarīgāk, tā gandrīz pilnībā trūkst patērētāju līmeņa GPU, kas atrodami klēpjdatoros un galddatoros. Miljoniem darbstaciju, ko izmanto izstrādātāji un datu zinātnieki un kurām trūkst ECC atbalsta, pašlaik nav visaptveroša risinājuma. Šī cauruma aizlāpīšana nav tik vienkārša kā caurumu aiztaisīšana kuģa korpusā; tas prasa fundamentālu pārdomu par to, kā draiveri un aparatūra mijiedarbojas.

Draudu ainavas novērtēšana

Kā personai, kura gadiem ilgi ir analizējusi sarežģītus APT uzbrukumus un sadarbojusies ar "balto cepuru" (white-hat) kopienu, GPUBreach man šķiet īpaši aizraujošs, jo tas savieno plaisu starp teorētiskiem aparatūras defektiem un praktisku izmantošanu. Tas mums atgādina, ka drošība ir tikai tik stipra, cik stiprs ir vājākais posms aparatūras un programmatūras stekā. Lai gan Google ir atzinis problēmas nopietnību ar kļūdu medību atlīdzību un NVIDIA atjaunina savus ieteikumus, Rowhammer sistēmiskais raksturs nozīmē, ka šī problēma, visticamāk, saglabāsies gadiem ilgi.

Raugoties uz draudu ainavu, mums ir jāatkāpjas no idejas, ka aparatūras izolācija ir absolūta. Mēs ieejam laikmetā, kurā ar "cilvēka ugunsmūri" nepietiek; mums ir vajadzīga aparatūra, kas ir droša pēc konstrukcijas, un programmatūra, kas pieņem, ka zem tās esošā aparatūra varētu melot.

Ko darīt tālāk: proaktīvs kontrolsaraksts

Ja pārvaldāt augstas veiktspējas skaitļošanas klasterus vai sensitīvas AI darba slodzes, jūs nevarat atļauties gaidīt perfektu ielāpu. Šeit ir soļi, kas jums būtu jāveic šodien:

• Auditējiet aparatūru ECC atbalstam: Pārliecinieties, ka visiem GPU kritiski svarīgās vidēs ir iespējots ECC. Lai gan tas nav brīnumlīdzeklis, tas ievērojami paaugstina latiņu uzbrucējam.
• Ieviesiet granulētu uzraudzību: Uzraugiet neparastus GPU draiveru avārijas gadījumus vai atmiņas kļūdas. GPUBreach mēģinājumi pirms panākumiem bieži atstāj tiesu medicīnisko nestabilitātes pēdu.
• Izolējiet augstvērtīgas darba slodzes: Mākoņvidēs apsveriet iespēju izmantot "konfidenciālās skaitļošanas" instances vai speciālu aparatūru uzdevumiem, kuros izmanto sensitīvas kriptogrāfiskās atslēgas vai patentētus LLM svarus.
• Reliģiozi atjauniniet draiverus: Lai gan GPUBreach izmanto aparatūras kļūmi, eskalācija uz CPU balstās uz draiveru ievainojamībām. NVIDIA kodola draivera atjaunināšana ir būtiska, lai pārtrauktu uzbrukuma ķēdi.

GPUBreach ir spilgts atgādinājums, ka kiberdrošības pasaulē pamats, uz kura mēs stāvam — pati aparatūra —, bieži vien ir mazāk ciets, nekā mēs domājam.

Avoti

• Toronto Universitātes pētniecības darbs: "GPUBreach: Achieving Root Access via GPU Rowhammer"
• IEEE Symposium on Security & Privacy (Oakland 2026) Proceedings
• NVIDIA Product Security Incident Response Team (PSIRT) Advisory Updates
• Google Vulnerability Reward Program (VRP) Disclosure Reports