苹果、高通、AMD和Imagination等公司开发的GPU驱动程序近日曝出了设计缺陷，这个设计缺陷可能会被共享系统上的不法分子用来窥探其他用户。

比如说，不法分子可以观察到处理器为其他用户加速的大语言模型（LLM）及其他机器学习软件。对于那些在云端共享服务器上训练或运行LLM的人来说，这将是一个潜在安全隐患。在非共享系统上，设法在系统上运行的恶意软件可能滥用这个弱点来窥视单独用户的GPU活动。

至关重要的是，图形芯片及其驱动程序本该通过完全隔离每个用户进程使用的内存及其他资源来防止这种窥视，而实际上，许多芯片和驱动程序没有充分安全地落实这项功能，从而导致数据被盗。

该漏洞编号为CVE-2023-4969，被称为LeftoverLocals，是由美国加州大学圣克鲁兹分校助理教授、Trail of Bits人工智能和机器学习安全团队的安全研究工程师Tyler Sorensen发现。

在最新公布的研究详细说明了，不法分子如何利用这个漏洞，读取系统的本地GPU内存中不应该读取的数据。此外，他们还发布了概念验证代码，用于窥视LLM聊天机器人与共享的GPU加速系统上的另一个用户之间的对话。攻击者只需要对共享GPU拥有足够的访问权限，便可以在其上面运行应用程序代码。

尽管采取了隔离保护机制，但在一个易受攻击的配置上，代码可以挖掘本地内存，以查找已被其他程序用作数据缓存的区域。因此，利用漏洞需要检查这些缓存区域，以查找其他用户和进程写入的值，并往外泄露这些信息。

理想情况下，每个缓存应该会在程序使用完后被清除，以防止数据被盗。这种删除不会自动发生，允许GPU上的其他应用程序观察剩余的内容，LeftoverLocals这个名称由此得来。

相关人员表示，数据泄露可能会酿成严重的安全后果，特别是考虑到机器学习系统大行其道，本地内存被用来存储模型的输入、输出和权重。

虽然该漏洞可能会影响易受攻击芯片上的所有GPU应用程序，但这让处理机器学习应用程序的那些人尤其担忧，因为这些模型使用GPU处理大量的数据，可能会被窃取大量敏感的信息。

在AMD Radeon RX 7900 XT上，每次GPU调用LeftoverLocals可能泄漏约5.5 MB的数据，如果在llama.cpp上运行7B模型，每次LLM查询会泄漏约多达181 MB的数据。这么多的信息足以高精度地重建LLM响应。

自2023年9月以来，漏洞猎人一直在与受影响的GPU厂商和CERT协调中心合作，以解决和披露漏洞。

AMD在发布的一份安全公告中表示，计划在3月份通过即将发布的驱动程序更新来推出缓解措施。这家芯片厂商还证实，它的很多产品都容易受到这个内存泄漏的影响，包括多个版本的Athlon和Ryzen桌面及移动处理器、Radeon显卡以及Radeon和Instinct数据中心GPU。

被问及LeftoverLocals时，AMD的发言人发来了以下声明：

从我们目前从研究人员那里得到的情况来看，如果用户和恶意软件在同一台本地机器上运行，那么GPU程序在运行期间用于临时存储数据的缓存内存的最终内容可能会被坏人看到。值得一提的是，系统的其他任何部分并没有被暴露，用户数据也没有受到损害。由于利用该漏洞需要安装恶意软件，AMD建议用户遵循最佳安全措施，包括保护对系统的访问，避免下载来历不明的软件。

谷歌向Trail of Bits指出，Imagination的一些GPU受到了影响，这家处理器设计厂商上个月发布了修复漏洞的补丁。

此外，谷歌的发言人发表了以下声明：

谷歌已经意识到这个漏洞会影响AMD、苹果和高通的GPU。谷歌已经针对搭载受影响的AMD和高通GPU的ChromeOS设备发布了修复程序，分别作为Stable和LTS渠道的120和114版本的一部分。没有选定某个版本的ChromeOS设备用户不需要执行任何操作。选定不受支持的版本的客户应该更新以获得修复。

与此同时，苹果的M3和A17系列处理器已修复了这个漏洞。

高通已经发布了固件补丁，不过据研究人员声称，它只修复了一些设备的问题。

英伟达和Arm没有受到影响。云端的大量人工智能加速器来自英伟达，如果你在英伟达加速器上训练或运行则无需担心。其他公司（尤其是苹果、Imagination和高通）在公共云GPU领域并不算得上是强大的存在，因此这方面的风险有限。

参考及来源：https://www.theregister.com/2024/01/17/leftoverlocals_gpu_flaw/