GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие

В сфере искусственного интеллекта произошло заметное событие. k0mar0v 1 час назад GDDRHammer и GeForge— анатомия атак, превративших видеопамять в оружие Средний 7 мин 2. 7K Блог компании МТС Информационная безопасность * Компьютерное железо Видеокарты Обзор Существует множество программных угроз для систем ИИ. Но я расскажу о GDDRHammer — атаке на аппаратную часть.

Разберу эту атаку до винтика, то есть покажу, как она реализуется на физическом уровне, и сравню с атакой GeForge того же класса. Атаки класса RowhammerЕще в 2014-м исследователи обнаружили, что, постоянно обращаясь к строкам оперативной памяти, могут изменить бит в соседних строках. Поскольку биты хранятся в виде электрического заряда, «взлом» их вызывает электрические помехи, способные превращать нули в единицы или наоборот.

Технические детали

А через сбой в работе бита потенциальный злоумышленник может получить доступ к более высоким привилегиям в памяти, откуда скомпрометирует процессор. Этот класс атак получил название Rowhammer — по одной и той же строке (row) бьют много раз, словно молотком (hammer). В 2025-м исследователи аналогично атаковали видеопамять.

GPUHammer — первая успешная атака Rowhammer GDDR6 дискретных GPU NVIDIA. В отличие от классической Rowhammer на CPU, где атакующий «долбит» две строки памяти в надежде перевернуть бит в соседней строке, в GPUHammer три действия. Во-первых, исследователи провели обратный инжиниринг проприетарного драйвера NVIDIA и выявили функцию, раскрывающую физическое отображение виртуальной памяти на банки GDDR6.

Это позволило точно выбрать в памяти строки, с помощью которых атаковали остальную память. Далее буду называть их строками-агрессорами. Во-вторых, авторы написали специализированное ядро CUDA, где тысячи параллельных потоков одновременно обращаются к одним и тем же строкам-агрессорам — параллелизм GPU создает лавину запросов, которую контроллер памяти со своим защитным механизмом Target Row Refresh не успевает обработать.

Отраслевые последствия

В-третьих, атаку синхронизировали с циклами обновления памяти: «долбление» активируется сразу после того, как контроллер обновил строки, чтобы помехи накапливались максимально долго — до следующего обновления. В результате вызвали управляемые битовые искажения в таблицах страниц GPU, благодаря чему нарушили изоляцию памяти между процессами — первый шаг к полной компрометации системы. Тогда исследователи добились лишь восьми битовых искажений на всю видеокарту RTX A6000.

Достаточно, чтобы продемонстрировать принцип и слегка подпортить работу нейросети, но недостаточно для серьезного взлома. Да, даже один битовый сбой может быть критичен, однако вероятность попасть в нужный бит за восемь переворотов стремится к нулю. Атака GDDRHammer Авторы GPUHammer вернулись к задаче с новыми идеями и превзошли себя в 32 раза: в среднем 129 переворотов бита на каждый банк памяти RTX A6000.

Но достижение не в самом количестве, а в том, что с ним атака из игры в рулетку становится инженерной задачей с предсказуемым результатом. Что именно изменилось?

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.