近日，Trail of Bits的研究人员Tyler Sorensen和Heidy Khlaaf发现，AMD、苹果、高通等GPU中存在一个名为“LeftoverLocals”的漏洞可被攻击者利用，以窥探受害者的GPU活动并泄露模型训练数据。

GPU最初设计用于解决CPU在图形处理上的不足，由于其出色的并行处理能力，也被广泛应用于其他领域（如AI模型训练）。该漏洞（CVE-2023-4969）使得从易受攻击的GPU中恢复数据成为可能，安全研究员在博客中介绍说：

“该漏洞允许在苹果、高通、AMD、Imagination GPU上恢复另一个进程创建的GPU本地内存中的数据。LeftoverLocals对整个GPU应用程序的安全性产生影响，特别是对受影响GPU平台上运行的LLM和ML模型具有重要意义。”

这个安全漏洞的根源在于一些GPU框架没有完全隔离内存，一台机器上运行的一个内核可以读取另一个内核写入的本地内存中的值。理想情况下每个缓存都应该在程序使用完毕后被清除，以防止数据被盗——然而实际上这种删除并不会自动发生，从而允许被GPU上的其他应用程序所观察到，也因此给该漏洞取了LeftoverLocals这个名字。

恢复的数据可以揭示与受害者计算相关的敏感信息，包括模型输入、输出、权重和中间计算。在运行LLMs的多用户GPU环境中，LeftoverLocals可以用来监听其他用户的交互会话，并从受害者的“写入者”进程的GPU本地存储器中恢复数据。

该漏洞在披露前已报告给各大厂商。目前高通已为此发布了固件补丁；苹果称其M3和A17系列处理器已经修复了这个漏洞；AMD在周二发布的安全公告中表示，计划从3月开始为此推出驱动程序更新；而Nvidia和Arm据说不受影响。

报告链接：https://blog.trailofbits.com/2024/01/16/leftoverlocals-listening-to-llm-responses-through-leaked-gpu-local-memory/

编辑：左右里

资讯来源：Trail of Bits、bleepingcomputer

转载请注明出处和本文链接