GPUHammer: Attacchi hardware sulle GPU NVIDIA portano alla compromissione dei modelli di AI

Redazione RHC : 14 Luglio 2025 14:07

NVIDIA ha segnalato una nuova vulnerabilità nei suoi processori grafici, denominata GPUHammer. Questo attacco, basato sulla nota tecnica RowHammer, consente agli aggressori di corrompere i dati di altri utenti sfruttando le peculiarità della RAM delle schede video. Per la prima volta, è stata dimostrata la possibilità di implementare un attacco RowHammer su una GPU, anziché su processori tradizionali. Ad esempio, gli specialisti hanno utilizzato la scheda video NVIDIA A6000 con memoria GDDR6, riuscendo a modificare singoli bit nella memoria video. Questo può portare alla distruzione dell’integrità dei dati senza accesso diretto.

Di particolare preoccupazione è il fatto che anche un singolo bit flip possa compromettere l’accuratezza dell’intelligenza artificiale: un modello addestrato su ImageNet che in precedenza aveva dimostrato un’accuratezza dell’80% è stato attaccato fino a meno dell’1%. Questo impatto trasforma GPUHammer da un’anomalia tecnica in un potente strumento per distruggere l’infrastruttura di intelligenza artificiale, inclusa la sostituzione dei parametri interni del modello e l’avvelenamento dei dati di addestramento.

A differenza delle CPU, le GPU spesso non dispongono di meccanismi di sicurezza integrati come il controllo degli accessi a livello di istruzione o il controllo di parità. Questo le rende più vulnerabili ad attacchi di basso livello, soprattutto in ambienti di elaborazione condivisi come piattaforme cloud o desktop virtuali. In tali sistemi, un utente potenzialmente malintenzionato può interferire con le attività adiacenti senza avervi accesso diretto, creando rischi a livello di tenant.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ricerche precedenti, inclusa la metodologia SpecHammer, combinavano le vulnerabilità RowHammer e Spectre per sferrare attacchi tramite esecuzione speculativa. GPUHammer prosegue questa tendenza, dimostrando che l’attacco è possibile anche in presenza di meccanismi di protezione come Target Row Refresh (TRR), precedentemente considerati una precauzione affidabile.

Le conseguenze di tali attacchi sono particolarmente pericolose per i settori con elevati requisiti di sicurezza e trasparenza, come la sanità, la finanza e i sistemi autonomi. L’introduzione di distorsioni incontrollate nell’IA può violare normative come la ISO/IEC 27001 o la legislazione europea in materia di IA, soprattutto quando le decisioni vengono prese sulla base di modelli corrotti. Per ridurre i rischi, NVIDIA consiglia di abilitare l’ECC (Error Correction Code) con il comando “nvidia-smi -e 1”. È possibile verificarne lo stato con “nvidia-smi -q | grep ECC”. In alcuni casi, potrebbe essere accettabile abilitare l’ECC solo per i nodi di training o per i carichi di lavoro critici. Vale inoltre la pena monitorare i log di sistema per le correzioni degli errori di memoria, in modo da rilevare tempestivamente eventuali attacchi.

Vale la pena notare che l’abilitazione dell’ECC riduce le prestazioni di apprendimento automatico sulla GPU A6000 di circa il 10% e riduce la memoria disponibile del 6,25%. Tuttavia, i modelli di GPU più recenti come H100 e RTX 5090 non sono interessati da questa vulnerabilità, poiché utilizzano la correzione degli errori on-chip.

Di ulteriore preoccupazione è un recente sviluppo correlato, chiamato CrowHammer, presentato da un team di NTT Social Informatics Laboratories e CentraleSupélec. In questo caso, l’attacco è riuscito a recuperare la chiave privata dell’algoritmo di firma Falcon post-quantistico selezionato per la standardizzazione dal NIST. I ricercatori hanno dimostrato che anche un singolo bit flip mirato può portare all’estrazione della chiave in presenza di diverse centinaia di milioni di firme, con più distorsioni e meno dati.

Nel complesso, tutto ciò evidenzia la necessità di riconsiderare gli approcci alla sicurezza dei modelli di intelligenza artificiale e dell’infrastruttura su cui operano. La semplice protezione a livello di dati non è più sufficiente: dobbiamo tenere conto delle vulnerabilità che emergono a livello hardware, fino all’architettura della memoria video.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli