NVIDIA предупреждает об угрозе: атака GPUHammer может разрушить модели ИИ

Исследователи из Университета Торонто представили новый метод атаки под названием GPUHammer, способный изменять отдельные биты в видеопамяти GDDR6 на видеокартах NVIDIA без физического доступа к данным. Эксперименты показали, что одного повреждённого бита достаточно, чтобы точность модели машинного обучения снизилась с 80% до менее чем 1%.

Атака GPUHammer является GPU-аналогом ранее известной уязвимости Rowhammer и воздействует на ячейки памяти, вызывая флип соседних битов. В отличие от обычных уязвимостей, здесь не требуется доступ к модели или её данным — достаточно делить одно и то же GPU-окружение, например, в облачном сервисе. Тестирование проводилось на видеокарте NVIDIA RTX A6000, но под угрозой находятся также модели архитектур Ampere, Ada, Hopper и Turing.

В ходе тестирования пяти нейросетей (AlexNet, VGG16, ResNet50, DenseNet161, InceptionV3) наблюдалось катастрофическое снижение точности: среднее падение с 71.26% до 0.08%. RAD (Rate of Agreement Degradation) составил 0.99 — то есть почти каждый флип битов критичен.

NVIDIA уже опубликовала рекомендации по защите: в первую очередь, включение ECC (код коррекции ошибок). Хотя это может снизить производительность до 10% и сократить объём доступной VRAM на 6–6.5%, такие меры критичны при работе с ИИ в медицине, финансах или автопилотах.

Новейшие модели, такие как RTX 5090 и H100, оснащены встроенной ECC-защитой. Для остальных видеокарт рекомендуется включить ECC вручную через nvidia-smi. GPUHammer — это тревожный сигнал для индустрии: защита памяти видеокарт выходит на первый план в эпоху ИИ.