Uma vulnerabilidade descoberta pela empresa de segurança Trail of Bits no ano passado e divulgada nesta semana revelou uma brecha bastante sensível em GPUs1Graphics processing units, ou unidades de processamento gráfico., permitindo a coleta de dados dos usuários da sua memória local. Uma das possíveis aplicações da artimanha é em grande modelos de linguagem, como os que compõem ferramentas de inteligência artificial generativa, podendo obter partes de respostas, por exemplo.
A vulnerabilidade foi chamada de LeftoverLocals e catalogada como CVE-2023-4969. Ela afeta GPUs de fabricantes como AMD, Qualcomm e Apple. Entre os produtos da Maçã afetados, estão o MacBook Air com chip M2, o iPhone 12 Pro e, anteriormente, o iPad mini de terceira geração, agora corrigido. A Maçã afirmou ter incluído correções para a brecha nos chips M3 e A17 Pro, portanto os iPhones 15 não aparentam ter sido impactados, segundo a Trail of Bits.
Para que a LeftoverLocals seja explorada, é necessário que o cracker já tenha algum nível acesso prévio à máquina em questão. Com apenas algumas linhas de código, a vulnerabilidade é capaz de, por meio de um aplicativo que use o processamento gráfico, extrair dados da memória local de GPUs advindos de outros apps. Isso ocorre em razão de falhas no isolamento entre dados de diferentes apps rodando na GPU.
A memória local de uma GPU é compartilhada entre diferentes apps e usada para otimizar o seu desempenho, armazenando dados frequentemente utilizados. Nas GPUs vulneráveis, não há a eliminação esperada das informações entre diferentes execuções de apps. Ao ler repetidamente a memória local não inicializada, então, um app malicioso consegue roubar dados de outros apps.
Em LLMs, por exemplo, é possível roubar pedaços de dados relacionados à execução do modelo, assim como acessar as respostas da ferramenta, cuja camada cabe na memória local da GPU. Em testes conduzidos pela empresa, foi possível obter de 5MB a até cerca de 181MB de dados por vez em uma GPU da AMD; essa quantidade depende da GPU.
LLMs e apps de IA são especialmente vulneráveis a essa brecha por fazerem bastante uso da memória local das GPUs. Diversas interfaces, como Metal, OpenCL e Vulkan, podem ser usadas para explorar a vulnerabilidade. Mitigações que podem ser feitas por usuários incluem realizar o processo de limpar a memória manualmente nos kernels da GPU, embora isso exija certo conhecimento técnico.
Desde setembro do ano passado, a Trail of Bits está realizando um trabalho coordenado com um centro de pesquisa e com as fabricantes de GPUs afetadas, embora a Apple seja a única que não esteja tão integrada. Componentes de marcas como Intel, NVIDIA e ARM não são vulneráveis, ao menos em princípio.
De todo modo, a Maçã reconheceu o problema, além de informar a correção nos dispositivos mais recentes. Resta agora aguardar para que os outros afetados também ganhem atualizações, já que eles ainda estão vulneráveis. Pesquisas também estão sendo realizadas no sentido de aumentar a privacidade e a segurança de GPUs, inclusive para evitar o uso combinado de vulnerabilidades, como lembrado pela WIRED.
Notas de rodapé
- 1Graphics processing units, ou unidades de processamento gráfico.
