GPU和CPU，发出警告

公众号记得加星标⭐️，第一时间看推送不会错过。

来源：内容综合自hacknews。

NVIDIA 敦促客户启用系统级错误纠正码 (ECC)，以防御针对其图形处理单元 (GPU) 的 RowHammer 攻击变体。

这家 GPU 制造商在本周发布的一份咨询报告中表示： “RowHammer 攻击成功利用的风险因 DRAM 设备、平台、设计规范和系统设置而异。”

此次攻击被称为GPUHammer，是首次针对 NVIDIA GPU（例如，带有 GDDR6 内存的 NVIDIA A6000 GPU）的 RowHammer 漏洞利用，导致恶意 GPU 用户通过触发 GPU 内存中的位翻转来篡改其他用户的数据。

多伦多大学的研究人员发现，这种行为最令人担忧的后果是人工智能 (AI) 模型的准确率从 80% 下降到 1% 以下。

RowHammer之于现代 DRAM 就像Spectre 和 Meltdown之于当代 CPU。虽然两者都是硬件级安全漏洞，但 RowHammer 针对的是 DRAM 内存的物理行为，而 Spectre 则利用的是CPU 中的推测执行。

RowHammer是由于重复访问内存导致 DRAM 中出现电气干扰而导致附近内存单元发生位翻转，而Spectre 和 Meltdown 则允许攻击者通过旁道攻击从内存中获取特权信息，从而可能泄露敏感数据。

2022年，密歇根大学和佐治亚理工学院的学者描述了一种名为SpecHammer的技术，该技术结合了RowHammer和Spectre来发起推测性攻击。该方法本质上是利用Rowhammer的位翻转将恶意值插入受害设备，从而触发Spectre v1攻击。

GPUHammer 是 RowHammer 的最新变种，即使采取了目标刷新率 (TRR) 等缓解措施，也能在 NVIDIA GPU 中引发位翻转。与多年来受益于侧信道防御研究的 CPU 不同，GPU 通常缺乏奇偶校验和指令级访问控制，这使得其内存完整性更容易受到低级故障注入攻击。

在研究人员开发的概念验证中，使用单比特翻转篡改受害者的 ImageNet 深度神经网络 (DNN) 模型，可将模型准确率从 80% 降至 0.1%。这清楚地表明，GPUHammer 并非仅仅是内存故障——它是针对 AI 基础设施核心的更广泛攻击浪潮的一部分，这些攻击涵盖了从 GPU 级故障到数据中毒和模型管道入侵等各种攻击。

GPUHammer 等漏洞威胁着人工智能模型的完整性，而人工智能模型越来越依赖 GPU 来执行并行处理和计算要求高的任务，更不用说为云平台开辟了新的攻击面。

在云机器学习平台或 VDI 设置等共享 GPU 环境中，恶意租户可能会针对相邻的工作负载启动 GPUHammer，从而影响推理准确性或破坏缓存的模型参数（无需直接访问）。这会造成跨租户风险，而这在当前的 GPU 安全态势中通常不会被考虑到。

这一发展与人们对人工智能模型可靠性和对抗性机器学习的更广泛担忧息息相关，攻击者利用输入或内存漏洞来操纵输出。GPUHammer 代表了一种在模型层以下运作的新型攻击——改变内部权重而非外部数据。

其影响延伸至边缘人工智能部署、自主系统和欺诈检测引擎，在这些地方，无声腐败可能不易被发现或逆转。

为了减轻 GPUHammer 带来的风险，建议通过“nvidia-smi -e 1”启用 ECC。用户可以通过运行 nvidia-smi -q | grep ECC 来验证 ECC 状态，该命令会报告 ECC 是否受支持以及当前是否已启用。

为了在保持保护的同时最大限度地降低影响，某些配置允许选择性地仅针对训练节点或高风险工作负载启用 ECC。监控 GPU 错误日志（/var/log/syslog 或 dmesg）以获取与 ECC 相关的更正也是一种很好的做法，这些更正可以指示正在进行的位翻转尝试。

较新的 NVIDIA GPU（例如 H100 或 RTX 5090）不受影响，因为它们具有片上 ECC，这有助于检测和纠正由于与更小、更密集的内存芯片相关的电压波动而引起的错误。

该研究的主要作者 Chris (Shaopeng) Lin、Joyce Qu 和 Gururaj Saileshwar 表示：“启用纠错码 (ECC) 可以减轻这种风险，但 ECC 可能会导致 A6000 GPU 上的 [机器学习] 推理工作负载速度降低 10%”，并补充说它还会使内存容量减少 6.25%。

此次披露是在 NTT 社会信息实验室和 CentraleSupelec 的研究人员提出 CrowHammer 之际发布的，CrowHammer 是一种 RowHammer 攻击，可以对FALCON（FIPS 206）后量子签名方案进行密钥恢复攻击，该方案已被NIST选为标准化方案。

研究称：“使用 RowHammer，我们针对 Falcon 的 RCDT [反向累积分布表] 触发极少量的定向位翻转，并证明由此产生的分布足够倾斜，可以执行密钥恢复攻击。”

“我们证明，只要有几亿个签名，一次有针对性的位翻转就足以完全恢复签名密钥，而更多的位翻转则可以用更少的签名恢复密钥。”

对于受严格合规规则约束的行业（例如医疗保健、金融和自治系统），由于位翻转攻击导致的 AI 静默故障会带来监管风险。损坏的模型导致的错误推理可能违反 ISO/IEC 27001 或欧盟《人工智能法案》等框架下的安全性、可解释性或数据完整性要求。部署 GPU 密集型 AI 的组织必须将 GPU 内存完整性纳入其安全和审计范围。

AMD 警告称新的漏洞

AMD 警告用户，一种新发现的侧信道攻击会影响其多种芯片，并可能导致信息泄露。

瞬态调度程序攻击 (TSA) 与Meltdown 和 Spectre类似，包含四个漏洞，AMD 表示，它们是在调查微软关于微架构泄漏的报告时发现的。

这四个漏洞表面上看起来并不太严重——其中两个漏洞的严重程度评级为中等，另外两个漏洞的严重程度评级为“低”。然而，由于漏洞影响程度较低，趋势科技和 CrowdStrike 仍将其威胁级别评定为“严重”。

严重程度评分较低的原因是成功攻击涉及的高度复杂性——AMD 表示，只有能够在目标机器上运行任意代码的攻击者才能实施攻击。

它影响 AMD 处理器（台式机、移动和数据中心型号），包括第三代和第四代 EPYC 芯片。

据报道，他们需要通过恶意软件或恶意虚拟机对机器进行本地访问，但攻击只需要较低的权限即可成功。

AMD 认为，影响其芯片的 TSA 无法通过恶意网站利用，并且需要执行多次才能可靠地窃取任何数据。

这是因为攻击取决于错误完成，当 CPU 期望加载指令快速完成但某种情况阻止它们成功完成时就会发生错误完成。

由于加载未完成，与该加载相关的数据可能会被转发到相关操作，从而可能以攻击者可以看到的方式影响 CPU 执行指令的时间。

在这两个中等严重程度漏洞引发的最坏情况下，对 AMD 芯片的成功攻击可能导致操作系统内核信息泄露。其他情况下，应用程序或虚拟机也可能导致数据泄露。

低严重程度的错误可能导致内部 CPU 操作细节泄露，AMD 并不认为这种数据类型是敏感的。

访问内核数据可能使攻击者能够提升权限、绕过安全机制、建立持久性等等。

AMD 表示，有两种不同的 TSA 变体可以在其芯片上执行。它们分别被称为 TSA-L1 和 TSA-SQ，因为它们指的是能够从 L1 缓存和 CPU 存储队列推断数据的侧信道攻击。

根据 AMD 的技术文档中关于其发现的内容，TSA-L1 漏洞是由 L1 缓存使用微标签进行查找的方式错误引起的。CPU 可能会误以为数据在缓存中，而实际上并非如此，从而导致加载错误的数据，攻击者可能会据此推断。

当加载指令在所需数据不可用的情况下错误地从存储队列中检索数据时，就会出现 TSA-SQ 漏洞。在这种情况下，攻击者可以检测到错误的数据，并利用这些数据推断先前加载的存储（例如来自操作系统内核的数据），即使这些存储是在不同的上下文中执行的。

受 TSA 影响的芯片系列数量相当广泛，既影响消费级系统，也影响企业级系统。

总体上看，EPYC、Ryzen、Instinct和 Athlon 系列芯片应该进行更新。

AMD 建议系统管理员更新到最新的 Windows 版本以防范这些 TSA。目前有一种缓解措施涉及 VERW 指令，但 AMD 表示这可能会影响系统性能，因此决定采取哪种补救措施需要每位管理员进行风险与回报评估。

好消息是，这类攻击不仅难以实施（通常只有资源最丰富的团体才会这么做），而且据微软称，目前还没有任何地方存在已知的漏洞代码。

https://thehackernews.com/2025/07/gpuhammer-new-rowhammer-attack-variant.html?m=1

https://www.theregister.com/2025/07/09/amd_tsa_side_channel/

*免责声明：本文由作者原创。文章内容系作者个人观点，半导体行业观察转载仅为了传达一种不同的观点，不代表半导体行业观察对该观点赞同或支持，如果有任何异议，欢迎联系半导体行业观察。

今天是《半导体行业观察》为您分享的第4094期内容，欢迎关注。

加星标⭐️第一时间看推送，小号防走丢

求推荐