Seiring dengan semakin banyaknya perusahaan yang meningkatkan pengembangan sistem kecerdasan buatan, mereka semakin banyak mengandalkan chip unit pemrosesan grafis (GPU) untuk daya komputasi yang mereka butuhkan untuk menjalankan model bahasa yang besar (LLMs) dan untuk memproses data dengan cepat dalam skala besar. Antara pemrosesan game video dan kecerdasan buatan, permintaan akan GPU belum pernah sebesar ini, dan produsen chip berlomba-lomba untuk memperkuat pasokan. Namun, dalam temuan baru yang dirilis hari ini, para peneliti menyoroti kerentanan dalam beberapa merek dan model GPU populer, termasuk chip Apple, Qualcomm, dan AMD yang dapat memungkinkan penyerang mencuri jumlah data yang besar dari memori GPU.
Industri silikon telah menghabiskan bertahun-tahun untuk menyempurnakan keamanan unit pemrosesan pusat, atau CPU, agar tidak bocor data dalam memori bahkan ketika mereka dibangun untuk mengoptimalkan kecepatan. Namun, karena GPU dirancang untuk daya pemrosesan grafis mentah, mereka belum diarsiteki dengan tingkat yang sama dalam hal privasi data sebagai prioritas. Namun, seiring dengan perkembangan kecerdasan buatan generatif dan aplikasi pembelajaran mesin lainnya yang memperluas penggunaan chip ini, para peneliti dari perusahaan keamanan Trail of Bits yang berbasis di New York mengatakan bahwa kerentanan dalam GPU menjadi kekhawatiran yang semakin mendesak.
“Heidy Khlaaf, direktur rekayasa untuk jaminan kecerdasan buatan dan pembelajaran mesin di Trail of Bits, mengatakan kepada WIRED, “Ada kekhawatiran keamanan yang lebih luas tentang GPU ini tidak seaman seharusnya dan bocor jumlah data yang signifikan. Kami melihat sekitar 5 megabyte hingga 180 megabyte. Di dunia CPU, bahkan satu bit saja sudah terlalu banyak untuk diungkapkan.”
Untuk mengeksploitasi kerentanan ini, yang para peneliti sebut sebagai LeftoverLocals, penyerang harus sudah memiliki akses sistem operasi pada perangkat target. Komputer modern dan server dirancang khusus untuk memisahkan data sehingga beberapa pengguna dapat berbagi sumber daya pemrosesan yang sama tanpa dapat mengakses data satu sama lain. Namun, serangan LeftoverLocals ini dapat melanggar pembatasan tersebut. Dengan memanfaatkan kerentanan ini, seorang peretas dapat mengambil data yang seharusnya tidak dapat diakses dari memori lokal GPU yang rentan, mengungkapkan data apa pun yang ada di sana untuk diambil, yang dapat mencakup permintaan dan respons yang dihasilkan oleh LLM serta bobot yang menggerakkan respons tersebut.
Dalam bukti konsep mereka, seperti yang terlihat dalam GIF di bawah ini, para peneliti mendemonstrasikan serangan di mana target – yang ditunjukkan di sebelah kiri – meminta LLM sumber terbuka Llama.cpp untuk memberikan rincian tentang majalah WIRED. Dalam hitungan detik, perangkat penyerang – yang ditunjukkan di sebelah kanan – mengumpulkan sebagian besar respons yang diberikan oleh LLM dengan melakukan serangan LeftoverLocals pada memori GPU yang rentan. Program serangan yang dibuat oleh para peneliti menggunakan kurang dari 10 baris kode.
Musim panas lalu, para peneliti menguji 11 chip dari tujuh produsen GPU dan beberapa kerangka pemrograman yang sesuai. Mereka menemukan kerentanan LeftoverLocals pada GPU Apple, AMD, dan Qualcomm, dan meluncurkan pengungkapan kerentanan yang luas pada bulan September bekerja sama dengan Pusat Koordinasi US-CERT dan Khronos Group, badan standar yang berfokus pada grafis 3D, pembelajaran mesin, dan realitas virtual dan augmented.
Para peneliti tidak menemukan bukti bahwa GPU Nvidia, Intel, atau Arm mengandung kerentanan LeftoverLocals, tetapi Apple, Qualcomm, dan AMD semua mengkonfirmasi kepada WIRED bahwa mereka terkena dampaknya. Ini berarti chip terkenal seperti AMD Radeon RX 7900 XT dan perangkat seperti iPhone 12 Pro dari Apple dan MacBook Air M2 rentan. Para peneliti tidak menemukan kelemahan pada GPU Imagination yang mereka uji, tetapi GPU lain mungkin rentan.
Jurubicara Apple mengakui LeftoverLocals dan mencatat bahwa perusahaan telah menyediakan pembaruan dengan prosesor M3 dan A17 terbarunya, yang diperkenalkan pada akhir tahun 2023. Ini berarti bahwa kerentanan ini tampaknya masih ada di jutaan iPhone, iPad, dan MacBook yang ada yang bergantung pada generasi sebelumnya dari Apple silicon. Pada tanggal 10 Januari, para peneliti Trail of Bits menguji kembali kerentanan ini pada sejumlah perangkat Apple. Mereka menemukan bahwa MacBook Air M2 Apple masih rentan, tetapi iPad Air generasi ke-3 A12 tampaknya sudah diperbaiki.