硬件漏洞曝光：攻击者如何突破AI训练数据的防线？

来自北卡罗来纳州立大学的研究人员已确定了第一个硬件漏洞，攻击者可以通过利用运行人工智能（AI）的物理硬件来侵犯AI用户的数据隐私。

论文《GATEBLEED：一种仅基于时间的成员推断攻击、MoE路由推断以及通过硬件电源门控在AI加速器中实现的隐蔽通用放大器》将在2025年10月18日至22日于韩国首尔举行的IEEE/ACM国际微架构研讨会（MICRO 2025）上发表。该论文目前在arXiv预印本服务器上可用。

“我们发现的是一种AI隐私攻击，”该研究的第一作者、北卡罗来纳州立大学的博士生约书亚·卡利亚纳普说。“安全攻击是指窃取实际存储在系统内存中的东西——例如窃取AI模型本身或窃取模型的超参数。这不是我们发现的。隐私攻击窃取的是实际上并未存储在系统中的东西，例如用于训练模型的数据和输入模型的数据属性。这些事实通过AI模型的行为泄露出来。我们发现的第一个漏洞允许通过硬件成功攻击AI隐私。”

该漏洞与“机器学习（ML）加速器”相关，这些硬件组件位于计算机芯片上，能够提高AI系统中机器学习模型的性能，同时降低模型的功耗。机器学习是指一类AI模型，它们使用算法识别训练数据中的模式，然后利用这些模式从新数据中得出结论。

具体而言，该漏洞允许攻击者访问使用ML加速器的服务器，以确定用于训练该服务器上运行的AI系统的数据，并泄露其他私人信息。该漏洞被命名为GATEBLEED，通过监控在硬件上进行的软件级函数的时间来工作，绕过最先进的恶意软件检测技术。该发现引发了AI用户的安全担忧和AI公司的责任问题。

“机器学习加速器的目标是通过降低训练和运行人工智能系统的机器成本来减少总拥有成本，”论文的通讯作者、北卡罗来纳州立大学电气与计算机工程助理教授萨米拉·米尔巴赫尔·阿乔尔帕兹说。

“这些人工智能加速器正在被纳入用于各种计算机的通用CPU中，”米尔巴赫尔·阿乔尔帕兹说。“这个想法是，这些下一代芯片能够在运行人工智能应用时使用核心人工智能加速器，并在执行通用工作负载时切换到CPU。由于这项技术看起来将被广泛使用，我们想调查人工智能加速器是否会产生新的安全漏洞。”

在这项研究中，研究人员关注的是英特尔的高级矩阵扩展（AMX），这是一种首次被应用于第四代英特尔至强可扩展CPU的人工智能加速器。

“我们发现了一个漏洞，能够有效利用那些使人工智能加速器在加速执行人工智能功能的同时减少能耗的具体行为，”卡利亚纳普说。

“芯片的设计方式是根据其使用和需求为芯片的不同部分供电，以节省能源，”论文的共同作者、北卡罗来纳州立大学的博士生达什·阿舍尔说。“这种现象叫做电源门控，是这次攻击的根本原因。几乎所有主要公司都在其CPU的不同部分实施电源门控，以此获得竞争优势。”

“处理器根据使用情况和需求为片上加速器的不同部分供电；当AI算法和加速器遇到它们训练过的数据集时，可能会采取简化处理，”论文的共同作者、北卡罗来纳州立大学的博士生Farshad Dizani说。

“为攻击者提供了一个可观察的时间通道。换句话说，当AI加速器遇到AI训练过的数据与未训练过的数据时，其行为以可识别的方式波动。这些时间上的差异为未获得特权访问权限的攻击者创造了一种新颖的隐私泄露。”

“因此，如果你将数据输入到一个使用AI加速器运行AI系统的服务器中，我们可以通过观察AI加速器的使用波动来判断该系统是否在该数据上训练过，”论文的作者、北卡罗来纳州立大学的博士生Azam Ghanbari说。“我们找到了一种可以用来监控加速器使用情况的自定义程序，该程序不需要任何权限。”

“此外，当网络较深时，这种攻击的效果会更明显，”Asher说。“网络越深，它就越容易受到这种攻击。”

“而传统的防御攻击的方法似乎对这种漏洞效果不佳，因为其他攻击依赖于模型的输出或读取功耗，”Mirbagher Ajorpaz说。“GATEBLEED并不依赖这两者。”

“而是，GATEBLEED 是第一个利用硬件漏洞泄露用户数据隐私的漏洞，它利用了 AI 执行与加速器电源门控状态之间的交互，”Mirbagher Ajorpaz 说。“与软件漏洞不同，硬件缺陷不能仅通过更新进行修补。有效的缓解措施需要对硬件进行重新设计，而这需要数年时间才能在新 CPU 中实现。在此期间，微代码更新或操作系统（OS）级别的防御会导致严重的性能下降或增加的功耗，这在生产 AI 部署中都是不可接受的。”

“此外，由于硬件位于操作系统、虚拟机监控程序和应用程序堆栈之下，像 GATEBLEED 这样的硬件攻击会破坏所有更高级别的隐私保障，无论是加密、沙箱还是特权分离，”Mirbagher Ajorpaz 说。“因此，硬件漏洞为 AI 用户数据隐私泄露打开了一条根本新的通道，并且绕过了所有现有的针对 AI 推理攻击的防御。”

识别出 AI 系统训练所用的数据引发了 AI 用户和公司的一系列担忧。

“首先，如果你知道一个 AI 系统是基于什么数据进行训练的，这就为一系列对抗性攻击和其他安全问题打开了大门，”Mirbagher Ajorpaz 说。“此外，如果这个漏洞被用来证明某家公司在没有授权的情况下训练了其系统，这可能会给公司带来法律责任。”

这个漏洞还可能被用来向攻击者提供关于 AI 系统训练方式的更多信息。

“专家混合模型（MoEs），即人工智能系统依赖多个被称为‘专家’的网络，正成为下一代人工智能架构——尤其是在新的自然语言处理模型不断涌现的背景下，”Mirbagher Ajorpaz说。“GATEBLEED揭示了哪些专家对用户查询做出了响应，这意味着这一漏洞泄露了敏感的私人信息。GATEBLEED首次表明，MoE执行可能在硬件中留下可以提取的痕迹。

“我们在部署的流行人工智能代码和现代人工智能代理的设计中发现了十几个这样的漏洞，这些代码和设计遍布各种人工智能系统使用的流行机器学习库（如HuggingFace、PyTorch、TensorFlow等）。这让人们担心硬件设计决策会在多大程度上影响我们的日常隐私，特别是随着越来越多的人工智能应用和人工智能代理的部署。”

“本文的工作是一个概念验证发现，证明这种漏洞确实存在，且即使没有物理访问服务器的权限也能被利用，”Mirbagher Ajorpaz说。“我们的发现表明，现在我们知道该怎么找，找到许多类似的漏洞是完全可能的。下一步是确定解决方案，以帮助我们解决这些漏洞，而不牺牲与人工智能加速器相关的好处。”