GPUHammer — новый способ уничтожить точность ИИ-моделей на видеокартах с памятью GDDR6. Исследователи из Университета Торонто показали, что достаточно одного сбоя бита в видеопамяти, чтобы точность работы модели упала с 80% до ничтожных 0,1%.
Метод основан на уязвимости RowHammer, известной по атакам на обычную оперативную память, но теперь он адаптирован под видеопамять. Используя специальные последовательности обращений к DRAM-банкам на RTX A6000, учёные смогли добиться битовых сбоев, разрушивших данные, на которых обучена модель.
Технически атака проходит в три этапа: обратная инженерия структуры банков памяти, настройка частоты обращения и синхронизация с циклами обновления памяти. Для одного сбоя понадобилось около 12 000 активных обращений. Как итог — нейросети, ранее показывавшие 80% точности на ImageNet, буквально «ослепли».
Важно отметить, что подвержены не все видеокарты. Например, RTX 3080 использует GDDR6X, а не GDDR6, и не показала уязвимости. Новые флагманы вроде RTX 5090, а также серверные решения A100 и H100 с HBM-памятью тоже оказались устойчивыми. Вероятно, всё дело в разных производителях чипов GDDR6 — Samsung, Micron и SK Hynix.
Есть и способ защититься — включение ECC (коррекция ошибок) на уровне системы. Эта функция способна выявлять и исправлять одиночные битовые ошибки. Но за защиту придётся платить: до 10% потери производительности в ML-задачах и до 6,25% уменьшения доступной видеопамяти.
Компания NVIDIA уже выпустила уведомление и рекомендует включать ECC на уязвимых устройствах. А новые видеокарты Hopper и Blackwell уже поставляются с включённой защитой по умолчанию.
Если вы не используете именно RTX A6000 без ECC — паниковать не стоит. Но исследование напомнило, что даже дорогие видеокарты могут быть неожиданно уязвимы.