NVIDIA製GPUのAI精度を80%から0.1%に低下させる脆弱性が判明。クラウド環境でも実行可能
AIの学習や推論を行う際にはGPU自体の計算性能のほかに、高速なメモリーなども必要不可欠な技術になっていますが、トロント大学の研究者チームがAI用途で多くのシェアを持つNVIDIA製グラフィクスカードに搭載されるGDDR6に保存されたデータを静かに破損させ、AIモデルの精度を壊滅的に低下させる新たな攻撃手法『GPUHammer』と言う脆弱性を発見したことを明らかにしました。
『GPUHammer』は古くから存在するハードウェアの脆弱性攻撃である『Rowhammer』と呼ばれるものを応用したものです。GPUHammerの基となったRowhammer攻撃はメモリーの特定のアドレス(行)に繰り返しアクセスを行うことで隣接する別の行に電気的な干渉を発生させ、最終的にはビット反転を指せると言うものです。このRowhammerは今まではPCのメインメモリーであるDDR4やDDR5などで行われてきた攻撃手法でしたが、研究でGDDR6などでも同様の攻撃が可能であることを実証したようです。
実際に、実証ではNVIDIAのエンタープライズ向けGPUであるRTX A6000を使用し、特定のアドレスに断続的にアクセスするGPUHammer攻撃を実施、その結果AIモデルの精度が当初80%だったものが0.1%以下にまで低下してしまったとのことで、AIモデルが実質的に無力化されてしまう結果になったとのことです。
この攻撃は対象となるグラフィクスカードを所有する必要がなく、例えばGPUをクラウド環境でレンタルできるサービスやクラウドゲーミングサーバーなど複数ユーザーがGPUを共有する環境でも同様の攻撃が可能とのことです。そのため、悪意があるユーザーが自身のセッションでGPUHammer攻撃を実施することで、同じGPUを使うユーザーのAI処理を妨害または破壊させることすらも可能とのことです。
なお、NVIDIAはこの問題について対応策を既に公表しており、その方法はRTX A6000などエンタープライズ向けGPUではサポートされているECC(Error Correction Code:誤り訂正符号)機能を有効化することでビット反転エラーを検知し修正することが出来るとしています。ただ、このEECは生成AIの学習時の性能が約10%低下するほか、利用可能なVRAM容量も6.5%ほど減ると言うデメリットがあります。
GPUはアメリカが中国への輸出規制を行うなど今まではゲーミングのみでしたが、AIに必要不可欠な技術であることからビジネスから軍事まで幅広く活用されはじめています。しかし、その一方でGPUの活用の幅は2022年以降に急激に広がっていることからまだ見つかっていない脆弱性やそれらを活かした攻撃手法も多く存在すると考えられます。そのため、GPUの性能を可能な限り犠牲にせず、セキュリティーを向上させる方法などがより一層重要視されていくと考えられそうです。
GPUHammer: Rowhammer Attacks on GPU Memories are Practical | University of Toronto
コメント
コメント一覧 (1件)
>>このEECは生成AIの学習時の性能が約10%低下するほか、利用可能なVRAM容量も6.5%ほど減ると言うデメリットがあります。
でも有効化しないと、精度が0.1%になるんですよね。
精度が0.1%になるのと、性能が10%、利用可能メモリが6.5%減るの2択なら性能10%低下を選ぶんじゃないかなぁ。
こういう2択は、2択に見える1択なんじゃないかな。