Тихий взлом: как ваша видеокарта может отдать root-доступ через нейросеть
Вы запускаете локальную LLM на своем RTX 5090, гордясь тем, что не отправляете данные в облако. А в это время злонамеренное CUDA ядро методично бьет по памяти GPU, вызывая битовые перевороты и получая контроль над системой. Звучит как сюжет для фильма? К сожалению, это реальная угроза 2026 года.
Новое исследование, опубликованное в марте 2026 года, демонстрирует, как атака Rowhammer может быть выполнена через CUDA ядра на современных GPU NVIDIA, включая серии RTX 50xx. Уязвимость позволяет повысить привилегии до root, просто запустив специально сформированное ядро.
Rowhammer для GPU: от теории к практике
Rowhammer - это атака, известная с 2014 года. Она эксплуатирует физическую уязвимость в чипах DRAM: быстрая повторная активация строк памяти вызывает утечку заряда в соседних строках, что может изменить биты. Раньше это было проблемой для оперативной памяти, но теперь перекинулось на видеопамять.
На GPU память работает иначе. Выше плотность, другие тайминги. И главное - прямой доступ через CUDA ядра. Злонамеренное ядро может быть замаскировано под часть вычислений для LLM, например, в библиотеке линейного слоя или в оптимизированном коде для инференса.
Почему локальные LLM - идеальная цель?
Когда вы запускаете модель вроде Llama 3.5 или Claude 3.7 локально, вы часто даете ей полный доступ к GPU. Фреймворки вроде llama.cpp, vLLM или Ollama работают с привилегиями пользователя, а иногда и с root-правами в контейнерах. Если модель загружена из непроверенного источника, она может содержать вредоносные CUDA ядра.
Представьте: вы скачиваете "оптимизированную" версию модели для RTX 5090, а внутри - слегка модифицированные ядра, которые начинают атаку Rowhammer. Через несколько минут система скомпрометирована.
Технические детали: как работает атака
Атака использует то, что CUDA ядра имеют низкоуровневый доступ к памяти GPU. Злонамеренное ядро выполняет следующие шаги:
- Выделяет большой блок видеопамяти (VRAM) через cudaMalloc.
- Определяет адреса целевых строк памяти, используя side-channel атаки или знания об архитектуре.
- Быстро переключается между строками, вызывая частые активации (hammering).
- Это приводит к битовым переворотам в соседних строках, где может находиться критическая data, например, указатели или данные ядра.
- Через измененные указатели получает контроль над выполнением кода на хосте.
В последних GPU NVIDIA, таких как RTX 5080 и RTX 5090, память GDDR7 более плотная, что теоретически делает ее более уязвимой к Rowhammer. Однако, встроенные механизмы ECC могут частично смягчать атаку. Но ECC часто отключается для повышения производительности, особенно в играх и некоторых AI-задачах.
Какие GPU под угрозой в 2026 году?
| Модель GPU | Архитектура | Тип памяти | Уязвимость к Rowhammer |
|---|---|---|---|
| RTX 5090 | Blackwell | GDDR7 с ECC | Средняя (если ECC отключен) |
| RTX 5080 | Blackwell | GDDR7 | Высокая |
| RTX 5070 Ti | Blackwell | GDDR6X | Очень высокая |
| RTX 5060 Ti | Ada Lovelace | GDDR6 | Высокая |
Обратите внимание: даже если у вас карта с ECC, как у профессиональных моделей, вы можете быть уязвимы, если ECC отключен в драйвере. Кроме того, б/у GPU с eBay могут иметь изношенную память, более подверженную Rowhammer.
Как защититься: практические шаги
1Обновите драйверы и CUDA Toolkit
NVIDIA выпустила патчи в драйвере версии 555.xx и CUDA Toolkit 12.5, которые добавляют базовую защиту от Rowhammer для CUDA ядер. Убедитесь, что у вас последние версии. Для Linux используйте официальный репозиторий или скачайте с сайта NVIDIA.
2Используйте sandboxing для локальных LLM
Запускайте модели в изолированных средах. Docker с ограниченными правами - минимальное требование. Лучше использовать виртуальные машины с passthrough GPU, но это сложнее. Для бизнес-среды рассмотрите развертывание за бетонной стеной.
3Включайте ECC на поддерживаемых GPU
Если ваша карта поддерживает ECC (Error Correction Code), убедитесь, что он включен. Это снизит вероятность битовых переворотов. Но учтите, ECC снижает производительность и доступную память. Для AI-задач это может быть критично, особенно если вы пытаетесь запустить модель на 10 ГБ VRAM.
4Мониторинг аномальной активности GPU
Следите за температурой и использованием памяти. Rowhammer атака может вызвать необычную активность памяти и нагрев. Инструменты вроде NVIDIA System Management Interface (nvidia-smi) могут помочь. Если вы видите подозрительные скачки, остановите выполнение.
Важно: не запускайте локальные LLM от имени root или администратора. Создайте отдельного пользователя с ограниченными правами только для AI-задач. Это не остановит атаку полностью, но ограничит ущерб.
Будущее атак через GPU
Эксперты предсказывают, что по мере роста популярности локальных LLM атаки на GPU будут становиться изощреннее. Уже есть исследования по использованию AI для автоматизации поиска уязвимостей в памяти. Возможно, в будущем появятся специализированные антивирусы для GPU.
Пока что, лучшая защита - осторожность. Проверяйте код, который вы запускаете на GPU, особенно если он касается низкоуровневых операций. И помните, что даже безобидный illegal instruction в llama.cpp может быть признаком чего-то более зловещего.
И последний совет: если вы управляете сервером с несколькими GPU, например, с RTX 6000, ознакомьтесь с расследованием сбоев vLLM - некоторые ошибки могут быть не случайными.
Будьте бдительны. Ваша видеокарта - теперь не только инструмент для игр и AI, но и потенциальная дверь для злоумышленников.
