NVIDIA hat eine kritische Sicherheitswarnung herausgegeben, die Anwender von Grafikkarten mit GDDR6-Speicher zur sofortigen Aktivierung der System Level Error-Correcting Code (ECC) Funktion auffordert. Grund für diese dringende Empfehlung ist die Entdeckung einer neuartigen Angriffsmethode namens GPUHammer, die eine ernsthafte Bedrohung für die Integrität von KI-Systemen darstellt.
GPUHammer: Rowhammer-Angriffe auf Grafikkarten
Forscher der Universität Toronto haben erfolgreich demonstriert, wie sich die bekannte Rowhammer-Attacke auf moderne Grafikkarten übertragen lässt. Bei ihren Tests verwendeten sie eine NVIDIA RTX A6000 mit 48 GB GDDR6-Speicher und konnten dabei systematisch Speicherfehler provozieren.
Das Grundprinzip der GPUHammer-Attacke basiert auf der gezielten Manipulation von Speicherzellen durch wiederholte Zugriffe. Durch intensive Aktivierung bestimmter Speicherbereiche entstehen elektromagnetische Interferenzen, die zu unbeabsichtigten Bitflips in benachbarten Speicherzellen führen. Da DRAM-Zellen Daten als elektrische Ladungen speichern, können diese „Hammer-Attacken“ die Ladungszustände verändern und somit Bits von 0 auf 1 oder umgekehrt kippen.
Die Untersuchungsergebnisse zeigen, dass bereits nach etwa 12.000 Aktivierungen (TRH-Wert) Bitflips auftreten können. In allen getesteten Speicherbänken wurden insgesamt acht verschiedene Einzelbit-Fehler dokumentiert, was die Reproduzierbarkeit und Gefährlichkeit dieser Angriffsmethode unterstreicht.
Auswirkungen auf Machine Learning-Modelle
Besonders alarmierend sind die Auswirkungen von GPUHammer auf künstliche Intelligenz-Systeme. Die Forscher konnten nachweisen, dass bereits ein einziger Bitflip ausreicht, um die Genauigkeit eines KI-Modells von 80 Prozent auf katastrophale 0,1 Prozent zu reduzieren.
Diese Erkenntnisse haben weitreichende Konsequenzen für die gesamte KI-Industrie. In kritischen Anwendungsbereichen wie autonomem Fahren, medizinischer Diagnostik oder Finanzanalysen können solche Manipulationen zu gefährlichen Fehlentscheidungen führen. Die Integrität von Machine Learning-Modellen wird damit zu einem zentralen Sicherheitsaspekt moderner IT-Infrastrukturen.
Betroffene NVIDIA-Produktlinien
NVIDIA hat eine umfassende Liste gefährdeter Produkte veröffentlicht, die verschiedene Marktsegmente abdeckt. Betroffen sind unter anderem die RTX A-Serie (A6000, A5000, A4000), Tesla-Grafikkarten für Rechenzentren sowie professionelle Quadro-Lösungen. Auch eingebettete Systeme und Workstation-Grafikkarten sind von der Vulnerabilität betroffen.
ECC-Schutz als Gegenmaßnahme
Als primäre Schutzmaßnahme empfiehlt NVIDIA die Aktivierung der System Level ECC-Funktion für alle betroffenen Geräte. Error-Correcting Codes fügen redundante Informationen zu den gespeicherten Daten hinzu, wodurch Einzelbitfehler in Echtzeit erkannt und korrigiert werden können.
Neuere GPU-Generationen wie die Blackwell RTX 50 Series, die Blackwell Data Center Modelle GB200, B200 und B100 sowie die Hopper Data Center GPUs H100 und H200 verfügen bereits über integrierte ECC-Mechanismen, die automatisch aktiviert werden.
Performance-Kompromisse berücksichtigen
Die Aktivierung der ECC-Funktion bringt allerdings messbare Leistungseinbußen mit sich. Untersuchungen zeigen, dass die Verarbeitungsgeschwindigkeit von KI-Modellen um etwa 10 Prozent sinken kann. Zusätzlich reduziert sich der verfügbare Speicherplatz um bis zu 6,5 Prozent, da ein Teil der Kapazität für die Fehlerkorrektur-Codes reserviert wird.
Trotz dieser Performance-Einbußen überwiegen die Sicherheitsvorteile deutlich. In unternehmenskritischen Umgebungen, wo Datenintegrität und Systemzuverlässigkeit höchste Priorität haben, sollte die ECC-Aktivierung als unverzichtbare Sicherheitsmaßnahme betrachtet werden. Die temporäre Leistungsminderung ist ein akzeptabler Kompromiss angesichts der potenziell katastrophalen Folgen erfolgreicher GPUHammer-Angriffe auf moderne KI-Infrastrukturen.
