Новые академические исследования продемонстрировали, что высокопроизводительные графические процессоры (GPU) уязвимы для целого класса атак RowHammer, способных не только искажать данные в видеопамяти, но и приводить к эскалации привилегий вплоть до полного захвата хост-системы. Наиболее значимые работы получили кодовые названия GPUBreach, GDDRHammer и GeForge.
Новые RowHammer-атаки на GPU: GPUBreach, GDDRHammer и GeForge
RowHammer — это классическая проблема надежности DRAM, при которой многократное чтение одной строки памяти (hammering) вызывает электрические помехи и приводит к битовым сбоям (bit-flips) в соседних строках. Это подрывает фундаментальный принцип изоляции памяти, на котором строятся современные операционные системы и механизмы песочниц.
Ранее считалось, что современные архитектуры GPU и защита на уровне аппаратного обеспечения (ECC, механизмы обновления строк памяти) делают такие атаки малопрактичными. Однако работа GPUHammer, опубликованная в 2025 году, впервые показала практическую RowHammer-атаку на GPU NVIDIA с памятью GDDR6. Она использует многопоточное параллельное «молотение» строк для преодоления архитектурных ограничений и способна снижать точность работы моделей машинного обучения (ML) на GPU до 80%.
Новые атаки GPUBreach, GDDRHammer и GeForge идут дальше: их цель — не только повлиять на результаты вычислений, но и компрометировать таблицы страниц GPU, получить произвольный доступ к памяти и в ряде сценариев выйти на CPU-привилегии.
Как работает GPUBreach: от битовых сбоев к root-доступу
Коррупция таблиц страниц GPU через GDDR6 RowHammer
В работе GPUBreach исследователи показывают, что, индуцируя битовые сбои в памяти GDDR6, можно изменять критические структуры управления памятью — таблицы страниц GPU. Некомпрометированный, низкопривилегированный процесс получает в результате произвольный доступ на чтение/запись к памяти GPU.
Ключевой шаг — нацеливание на записи таблиц страниц (page table entries, PTE), которые определяют, какие области памяти доступны конкретному GPU-контексту. Манипулируя битами в этих записях, атакующий может переназначать страницы и расширять свои права доступа.
Обход IOMMU и выход на привилегии ядра
Особенно критично, что GPUBreach демонстрирует атаку даже при включенном IOMMU — аппаратном модуле, который должен изолировать устройства и предотвращать атаки прямого доступа к памяти (DMA).
Компрометированный GPU, используя изменённые PTE, выполняет DMA-доступ к участкам оперативной памяти CPU, которые разрешены IOMMU (например, к буферам самого драйвера NVIDIA). Коррупция доверенного состояния драйвера позволяет спровоцировать ошибки управления памятью в ядре и получить примитив произвольной записи в пространстве ядра. Это напрямую приводит к эскалации привилегий до root и запуску shell с правами ядра.
Кража криптографических ключей и атаки на ИИ-модели
Помимо эскалации привилегий, исследователи показали, что GPUBreach может использоваться для кражи секретных криптографических ключей, в том числе из библиотеки NVIDIA cuPQC, а также для целенаправленного ухудшения точности ML-моделей, работающих на GPU. Таким образом, атака затрагивает как конфиденциальность, так и целостность вычислений в средах с аппаратным ускорением.
Риски для облачных ИИ-сервисов и многопользовательских GPU
Авторы подчёркивают серьёзные последствия для облачной инфраструктуры ИИ, многопользовательских GPU-платформ и HPC-систем. В таких сценариях на одном GPU одновременно выполняются задачи разных клиентов, и изоляция ресурсов критична.
Если злоумышленник получает доступ к разделяемому GPU (например, через аренду вычислительного инстанса в облаке), успешная атака GPUBreach или аналогичных техник потенциально позволяет:
- читать и модифицировать данные и модели других арендаторов на том же GPU;
- получать доступ к памяти хоста и критическим данным (в том числе ключам шифрования);
- расширять атаку до уровня всей инфраструктуры, включая узлы управления и системы оркестрации.
Сравнение GPUBreach, GDDRHammer и GeForge
Все три работы используют коррупцию таблиц страниц GPU через RowHammer в GDDR6, но отличаются целями и предпосылками.
GDDRHammer модифицирует поле aperture в записях таблиц страниц GPU, что позволяет непривилегированному CUDA-ядру читать и записывать всю память хоста CPU. Эта атака фокусируется на захвате доступа к памяти, но не обязательно обеспечивает полный root-доступ.
GeForge эксплуатирует последний уровень каталога страниц (page directory, PD0) и также направлен на подмену преобразования адресов для получения произвольного доступа к памяти GPU и хоста. Существенное ограничение — необходимость отключения IOMMU, что снижает практическую применимость в защищённых средах.
GPUBreach выделяется тем, что:
- работает при включённом IOMMU, обходя его за счёт компрометации доверенного состояния драйвера;
- обеспечивает не только доступ к памяти, но и полную CPU-эскалацию привилегий до root;
- комбинирует утечку секретов, саботаж ML-моделей и захват системы в одном векторе атаки.
Возможные меры защиты и ограничения существующих подходов
Очевидная временная мера — включение ECC на GPU, где это возможно. Однако предыдущие работы по RowHammer, такие как ECCploit и ECC.fail, уже показали, что ECC не является абсолютной защитой: при индукции более двух битовых сбоев в слове памяти стандартные схемы коррекции ошибок перестают справляться и могут даже приводить к «тихой» порче данных.
Исследователи подчёркивают, что на настольных и мобильных GPU, где ECC обычно недоступен, на сегодняшний день нет надёжных известных механизмов защиты от подобных атак. В условиях центров обработки данных и облаков имеет смысл рассматривать дополнительные меры:
- минимизацию общего использования GPU между разными арендаторами и более жёсткую изоляцию задач;
- регулярное обновление драйверов GPU и оперативное внедрение патчей со стороны вендора;
- мониторинг аномальной активности памяти и нетипичных паттернов обращений (частое «молотение» одних и тех же строк);
- дополнительные программные и аппаратные проверки целостности критических структур, таких как таблицы страниц GPU.
Новые атаки RowHammer на GPU демонстрируют, что защита выделенных ускорителей становится неотъемлемой частью общей стратегии кибербезопасности. Организациям, использующим GPU для ИИ, криптографии и высокопроизводительных вычислений, целесообразно уже сейчас оценить свои риски, пересмотреть модели угроз и планировать переход к архитектурам и драйверам, устойчивым к манипуляциям с памятью. Чем раньше такие уязвимости будут учтены в дизайне инфраструктуры, тем ниже вероятность того, что следующая генерация атак превратит GPU из ускорителя в точку входа для полного взлома системы.
