GPUHammer: il nuovo attacco RowHammer colpisce le GPU NVIDIA
Un gruppo di ricercatori dell’Università di Toronto ha rivelato una nuova e preoccupante vulnerabilità che estende il famigerato attacco RowHammer alle GPU. Il nuovo exploit, chiamato GPUHammer, colpisce specificamente le schede grafiche NVIDIA con memoria GDDR6, dimostrando che anche l’hardware grafico, spesso utilizzato per l’addestramento e l’inferenza di modelli di intelligenza artificiale, può essere soggetto a manipolazioni a livello fisico.
Il meccanismo dell’attacco
RowHammer è una tecnica d’attacco ben documentata che, tramite accessi ripetuti a specifiche righe di memoria DRAM, provoca fluttuazioni elettriche capaci di alterare i dati presenti nelle celle adiacenti. Tradizionalmente associato ai moduli di memoria RAM in sistemi CPU, l’attacco viene ora adattato con successo anche alle GPU.
I ricercatori sono riusciti a invertire il processo di mappatura della memoria di una NVIDIA RTX A6000, consentendo l’identificazione precisa delle righe fisiche di memoria da “martellare”. Hanno poi utilizzato l’elevato grado di parallelismo proprio delle GPU per saturare le righe target di richieste, inducendo bit-flip in memoria GDDR6.
In fase di test, l’attacco ha causato fino a otto bit-flip simultanei in quattro banche di memoria diverse. L’elemento più allarmante riguarda la possibilità di compromettere direttamente i pesi di un modello di machine learning in esecuzione. In un esperimento, un singolo bit-flip è stato sufficiente a ridurre la precisione di un modello dal 79,8% allo 0,1%.
Implicazioni per la sicurezza AI
La gravità dell’attacco risiede nella sua capacità di agire in modo invisibile e non autorizzato all’interno di ambienti condivisi, come le GPU in cloud computing. In questi scenari, un utente malintenzionato potrebbe manipolare silenziosamente la memoria condivisa e danneggiare i modelli di altri utenti, senza accedere direttamente ai file o alterare i dati di input.
Si tratta quindi di una vulnerabilità che va ben oltre i rischi tipici associati agli attacchi software: GPUHammer interviene direttamente sull’hardware, aprendo scenari di sabotaggio interno in contesti sensibili come la sanità, la guida autonoma o i sistemi finanziari.
Mitigazioni e contromisure
L’unica forma efficace di mitigazione identificata finora è l’attivazione dell’ECC (Error-Correcting Code), disponibile su alcune GPU con memoria GDDR6. Tuttavia, questa protezione non è attiva di default e deve essere abilitata manualmente tramite il comando nvidia-smi -e 1.
Va inoltre considerato che l’attivazione dell’ECC comporta una penalizzazione sulle prestazioni (fino al 10% di rallentamento) e una riduzione della memoria disponibile. Le GPU di ultima generazione, come le NVIDIA H100 e la nuova serie RTX 5090, dispongono invece di ECC integrato direttamente nel die, rendendole meno vulnerabili a questo tipo di attacco.
I ricercatori raccomandano inoltre un attento monitoraggio dei log di sistema (tramite dmesg o syslog) per rilevare tempestivamente eventuali errori di correzione, e l’adozione di politiche di sicurezza più rigorose negli ambienti AI condivisi.
Conclusioni
L’attacco GPUHammer rappresenta un’evoluzione significativa delle minacce RowHammer, estendendo il rischio anche ai sistemi basati su GPU. La dimostrazione pratica condotta su una scheda NVIDIA A6000 mette in evidenza la necessità di aggiornare non solo le infrastrutture hardware, ma anche le strategie di sicurezza delle piattaforme AI.
Con l’intelligenza artificiale sempre più centrale nei settori critici, la protezione dell’integrità dei modelli passa inevitabilmente anche dalla sicurezza dell’hardware. GPUHammer ne è la conferma più recente e allarmante.
