Bir grup araştırmacı, NVIDIA ekran kartlarının belleğindeki bitleri sessizce değiştirebilen ve yapay zeka modellerinde ciddi bozulmalara yol açabilen 'GPUHammer' adlı yeni bir saldırı keşfetti. Bu saldırı, yapay zeka modelinin koduna veya veri girişine dokunmadan gerçekleşebiliyor. Neyse ki Nvidia durumun farkında ve bu riskin nasıl azaltılacağına dair yönergeler yayınladı. GDDR6 bellek kullanan bir ekran kartınız varsa, bu konuya dikkat etmeniz önemli.
Araştırmacı ekip, bellek üzerinde tek bir bitin değiştirilmesinin bile bir yapay zeka modelinin doğruluk oranını %80'den %1'in altına nasıl düşürebildiğini gösterdi. Bu sadece teorik değil; ekip, saldırıyı gerçek bir NVIDIA RTX A6000 üzerinde, bellek hücrelerini tekrar tekrar zorlayarak yakındaki bir bitin yer değiştirmesine neden olan bir teknik kullanarak başarıyla gerçekleştirdi. Bu teknik, bellekte depolanan veriyi bozuyor.
GPUHammer Tam Olarak Nedir?
GPUHammer, Rowhammer olarak bilinen ve daha önce CPU ve sistem belleği (RAM) dünyasında karşılaşılan bir donanım sorununun ekran kartlarına odaklanmış bir versiyonu. Temelde modern bellek çiplerinin o kadar sık paketlenmiş olmasıyla ilgili ki, bir bellek satırını tekrar tekrar okumak veya yazmak, yakındaki satırlarda elektriksel parazite neden olabilir. Bu parazit sonucunda yakındaki bellek hücrelerindeki bitler değişebilir. Değişen bu bit; bir sayı, bir komut veya bir sinir ağının ağırlıklarından biri olabilir ve işte sorun da burada başlar.
Şimdiye kadar bu sorun daha çok DDR4 sistem belleği için bir endişe kaynağıydı. Ancak GPUHammer, bunun GDDR6 VRAM üzerinde de olabileceğini kanıtladı. GDDR6, birçok modern NVIDIA ekran kartına güç veriyor, özellikle yapay zeka ve iş istasyonu görevlerinde kullanılıyor. Bu, en azından belirli senaryolarda ciddi bir endişe kaynağı. Araştırmacılar, bazı koruma önlemleri olsa bile, birden fazla bellek bankasında çok sayıda bit değişikliğine neden olabildiklerini gösterdi. Bir örnekte, bu durum eğitilmiş bir yapay zeka modelini tamamen çalışmaz hale getirdi ve model esasen kullanılamaz hale geldi. Korkutucu olan kısım ise, saldırganın verilerinize erişmesi gerekmemesi. Saldırganın, bulut ortamı veya sunucu gibi paylaşılan bir ortamda aynı ekran kartını kullanıyor olması yeterli olabilir ve potansiyel olarak sizin yapay zeka iş yükünüze istediği gibi müdahale edebilir.
Belirtildiği gibi, saldırı RTX A6000 üzerinde test edildi, ancak risk Ampere, Ada, Hopper ve Turing mimarilerine sahip geniş bir yelpazedeki, özellikle iş istasyonları ve sunucularda kullanılan ekran kartları için geçerli. NVIDIA, etkilenen modellerin tam listesini yayınladı ve çoğu için ECC (Hata Düzeltme Kodu) kullanımını öneriyor. Bununla birlikte, RTX 5090 ve H100 gibi daha yeni ekran kartlarında çip üzerinde yerleşik ECC bulunuyor ve bu sorunları otomatik olarak hallediyor – kullanıcı kurulumu gerektirmiyor.
Ancak evinde kişisel bilgisayarını kullanan ve bu konuda endişelenen biriyseniz, bu tür bir saldırının bireysel oyuncuları veya ev kullanıcılarını hedef alması pek olası değil. Daha çok bulut oyun sunucuları, yapay zekâ eğitim kümeleri veya birden fazla kullanıcının aynı donanım üzerinde çalıştığı VDI (Sanal Masaüstü Altyapısı) gibi paylaşılan GPU ortamlarıyla ilgili. Bununla birlikte, bir ekran kartındaki belleğin sessizce manipüle edilebileceği temel fikri, tüm sektörün ciddiye alması gereken bir durum. Özellikle daha fazla oyun, uygulama ve hizmetin yapay zekâya dayanmaya başladığı günümüzde.
Nvidia'nın Yanıtı
NVIDIA, basit ama önemli bir öneriyle yanıt verdi: Ekran kartınız destekliyorsa ECC'yi (Error Correction Code - Hata Düzeltme Kodu) etkinleştirin. ECC, belleğe hata algılama ve düzeltme yeteneği ekleyerek bu tür bit değişiklikleri gibi hataları gidermeye yardımcı olan bir özellik. ECC'yi etkinleştirmenin küçük bir bedeli var; yapay zeka görevlerinde performansta yaklaşık %10 yavaşlama ve kullanılabilir VRAM miktarında %6-6.5 civarında azalma. Ancak ciddi yapay zeka işleri için ve iç rahatlığı sağlamak adına bu bedel ödenmeye değer olabilir.
GPUHammer gibi saldırılar sadece sistemleri çökertmekle veya aksaklıklara neden olmakla kalmaz. Yapay zekanın bütünlüğünü bozarak modellerin nasıl davrandığını veya kararlar aldığını etkilerler. Ve her şey donanım seviyesinde gerçekleştiği için, ne arayacağınızı tam olarak bilmediğiniz sürece bu değişiklikler neredeyse görünmezdir. Sağlık, finans veya otonom sürüş gibi düzenlemeye tabi sektörlerde, bu durum yanlış kararlara, güvenlik ihlallerine, hatta yasal sonuçlara yol açabilir. Ortalama bir kullanıcının doğrudan risk altında olmamasına rağmen, GPUHammer bir uyandırma çağrısı niteliğinde. Ekran kartları oyun oynamanın ötesine geçerek yapay zeka, yaratıcı işler ve üretkenlik alanlarında geliştikçe, riskler de artıyor. Bellek güvenliği, bir ekran kartında bile olsa, artık isteğe bağlı bir seçenek değil.
