Исследователи из Университета Джорджии и Техасского университета представили первую успешную атаку на видеокарту — Nvidia A6000 с памятью GDDR6. Они показали, что вызванные ошибки в памяти могут нарушить работу популярных нейросетевых моделей, снизив точность их предсказаний с 80% до менее чем 0,5% всего за восемь попыток.

Атака использует эффект Rowhammer — при котором интенсивное считывание данных из одной строки памяти приводит к искажению битов в соседних строках. До недавнего времени считалось, что видеопамять GPU — особенно в мощных моделях вроде A6000 — не уязвима к подобным манипуляциям. Однако новая методика, получившая название GPUHammer, обходит встроенные защитные механизмы и позволяет добиться ошибок, нацеливаясь на весовые коэффициенты нейросетей, хранящиеся в видеопамяти.

Современные микросхемы памяти настолько плотные, что многократное чтение или запись одной строки может вызывать электрические помехи, которые меняют биты в соседних строках. Этим заменённым битом может быть что угодно — число, команда или часть веса нейронной сети

Чтобы провести атаку, исследователи использовали особенности многопользовательского режима работы видеокарт в облачных средах. Благодаря точному контролю над размещением данных в памяти, злоумышленник может разместить свои данные рядом с ячейками другой программы, например, библиотеки PyTorch. Это позволяет намеренно вызвать сбои в обученной модели, не взаимодействуя напрямую с её кодом. Для этого злоумышленнику достаточно использовать тот же графический процессор в облачной среде или на сервере.

Особенно уязвимыми оказались модели с параметрами в формате FP16 (16-битное число с плавающей точкой), где достаточно изменить всего один бит, чтобы радикально изменить значение веса и вызвать каскадную деградацию результатов. Один такой сбой может снизить точность распознавания изображений с 72% до 0,08% на наборе ImageNet.

Кроме того, исследование выявило, что современные алгоритмы выделения памяти, ориентированные на производительность, непреднамеренно способствуют таким атакам. Например, Rapids сразу перераспределяет освобождённые участки памяти, что позволяет атакующему с высокой точностью управлять тем, где окажутся данные жертвы.

Авторы отмечают, что системы с активной коррекцией ошибок (ECC) могут быть защищены от подобных атак, но она часто отключается из-за снижения производительности и увеличения объёма используемой памяти. По их данным, включение ECC на A6000 замедляет выполнение типичных задач машинного обучения на 3–10%.

Этот сценарий  больше актуален для общих сред графических процессоров, таких как облачные игровые серверы, кластеры для обучения ИИ или конфигурации VDI, где несколько пользователей запускают рабочие нагрузки на одном оборудовании. Однако, риск актуален для широкого спектра графических процессоров Ampere, Ada, Hopper и Turing, особенно используемых в рабочих станциях и серверах. Nvidia опубликовала полный список уязвимых моделей и рекомендует использовать ECC для большинства из них.

В будущем команда намерена протестировать другие видеокарты, включая модели с памятью HBM и следующего поколения GDDR7, а также предложить программные и аппаратные методы защиты от Rowhammer на GPU.