GPU算力暴露出安全問(wèn)題了嗎？

一、小白劇場(chǎng)

大東：哎呦小白，你又在看新聞??！

小白：是的東哥。我發(fā)現(xiàn)了一個(gè)重要的新聞，就在本月9日，工信部等六部門聯(lián)合印發(fā)《算力基礎(chǔ)設(shè)施高質(zhì)量發(fā)展行動(dòng)計(jì)劃》，制定了到2025年的主要發(fā)展目標(biāo)，提出完善算力綜合供給體系、提升算力高效運(yùn)載能力、強(qiáng)化存力高效靈活保障、深化算力賦能行業(yè)應(yīng)用、促進(jìn)綠色低碳算力發(fā)展、加強(qiáng)安全保障能力建設(shè)等六方面重點(diǎn)任務(wù)。

大東：嗯，我也看到這一條了?！缎袆?dòng)計(jì)劃》提出，到2025年，算力規(guī)模超過(guò)300 EFLOPS，智能算力占比達(dá)到35%；運(yùn)載力方面，骨干網(wǎng)、城域網(wǎng)全面支持IPv6，SRv6等新技術(shù)使用占比達(dá)到40%；存儲(chǔ)力方面，存儲(chǔ)總量超過(guò)1800EB，先進(jìn)存儲(chǔ)容量占比達(dá)到30%以上；應(yīng)用賦能方面，圍繞工業(yè)、金融、醫(yī)療、交通、能源、教育等重點(diǎn)領(lǐng)域，各打造30個(gè)以上應(yīng)用標(biāo)桿。

小白：看來(lái)，未來(lái)的算力網(wǎng)絡(luò)將是帶動(dòng)數(shù)字基礎(chǔ)設(shè)施的核心引擎?。?/p>

大東：你說(shuō)的沒(méi)錯(cuò)，而未來(lái)的算力網(wǎng)絡(luò)可是數(shù)字基礎(chǔ)設(shè)施中的“基礎(chǔ)設(shè)施”。

小白：基礎(chǔ)設(shè)施都有嵌套，學(xué)到了！

大東：既然說(shuō)到算力建設(shè)，那我考考你，你知道算力網(wǎng)絡(luò)最重要的硬件是什么嗎？

小白：這可難不到我，就是GPU啊。

大東：是的。GPU是當(dāng)前算力網(wǎng)絡(luò)的核心硬件，正因如此，如果GPU安全出了問(wèn)題，那后果會(huì)非常嚴(yán)重。

小白：??？GPU出問(wèn)題了嗎東哥？快給我講一講！

大東：別著急，我們今天就是要來(lái)講這件事。

二、話說(shuō)事件

大東：這個(gè)安全問(wèn)題影響絕大多數(shù)GPU。它的名字叫GPU.zip攻擊，簡(jiǎn)單來(lái)說(shuō)，一個(gè)惡意網(wǎng)站可以獲取其他網(wǎng)站顯示的用戶名、密碼及其他敏感的可視化數(shù)據(jù)，這里面其實(shí)蘊(yùn)含了“同源性策略”原理。

小白：這個(gè)我知道，同源性原則構(gòu)成了保護(hù)互聯(lián)網(wǎng)的最基本的安全邊界之一，那么這項(xiàng)攻擊是不是可以繞過(guò)同源性原則？

大東：是的。

小白：GPU.zip攻擊原理到底是什么呢？

圖 1對(duì)用戶去匿名化處理的像素竊取概念驗(yàn)證（PoC）（圖片來(lái)源于網(wǎng)絡(luò)）

大東：GPU.zip始于一個(gè)惡意網(wǎng)站，該網(wǎng)站將一個(gè)它想要讀取的某個(gè)網(wǎng)頁(yè)的鏈接放在iframe中，而iframe是一種常見(jiàn)的HTML元素，允許網(wǎng)站嵌入廣告、圖像或托管在其他網(wǎng)站上的其他內(nèi)容。

小白：但是把鏈接放在iframe中應(yīng)該也不會(huì)有危害吧，畢竟同源策略會(huì)阻止任何一個(gè)網(wǎng)站查看另一個(gè)網(wǎng)站的源代碼、內(nèi)容或最終的可視化產(chǎn)品。

大東：這一點(diǎn)你提的很好，同源策略會(huì)將一個(gè)網(wǎng)站域上的內(nèi)容與所有其他網(wǎng)站域隔離開(kāi)來(lái)。

小白：但是，利用GPU.zip攻擊可以讀取來(lái)自另一個(gè)不同域的網(wǎng)站顯示的像素，然后，攻擊者可以重新構(gòu)建像素，讓他們可以查看后一個(gè)網(wǎng)站顯示的單詞或圖像。

大東：對(duì)咯，你琢磨一下攻擊者是如何獲取其他網(wǎng)站像素的？

小白：我想這跟傳輸數(shù)據(jù)時(shí)的帶寬優(yōu)化有關(guān)。攻擊者可以很容易繞過(guò)限制，逐個(gè)竊取像素。因?yàn)閿?shù)據(jù)壓縮就是用更少的數(shù)據(jù)表達(dá)相同的信息，比如通信雙方可以提前定義一種協(xié)議，用短的數(shù)據(jù)位來(lái)表示出現(xiàn)頻率更高的信息，用長(zhǎng)的數(shù)據(jù)位來(lái)表示出現(xiàn)頻率更低的信息。

大東：孺子可教也。

小白：原來(lái)是這樣繞過(guò)限制竊取數(shù)據(jù)的呀，我想起了我們以前的一篇文章：《保護(hù)數(shù)字安全——LED燈讀取密碼的挑戰(zhàn)該何去何從？丨大東話安全 (qq.com)》里面同樣用到了類似的技術(shù)。這種攻擊方法并不直接破解密碼，而是通過(guò)分析設(shè)備的物理特性來(lái)獲取信息。

大東：你想想看，怎么樣才能讓這個(gè)攻擊奏效呢？

小白：我覺(jué)得需要將惡意頁(yè)面加載到Chrome或Edge瀏覽器中。然后在iframe中鏈接的頁(yè)面不能被配置為拒絕被跨源網(wǎng)站嵌入。

三、大話始末

大東：對(duì)了。你再想一想，我們要怎樣預(yù)防這種攻擊呢？

小白：前面提到的兩個(gè)條件，其中一個(gè)是在iframe中鏈接的頁(yè)面不能被配置為拒絕被跨源網(wǎng)站嵌入。所以對(duì)其配置阻止就行吧。

大東：嗯，其實(shí)當(dāng)HTML被嵌入到惡意網(wǎng)站上的iframe中時(shí)，可能導(dǎo)致安全威脅，這是十多年來(lái)公開(kāi)的秘密。網(wǎng)站可以通過(guò)X-Frame-Options或Content-Security-Policy標(biāo)頭限制跨源嵌入顯示用戶名、密碼及其他敏感內(nèi)容的頁(yè)面。

小白：通過(guò)文獻(xiàn)閱讀和東哥剛才的分析，我覺(jué)得這種GPU攻擊方式是算力網(wǎng)絡(luò)發(fā)展過(guò)程中必然會(huì)暴露的問(wèn)題。

大東：的確，算力網(wǎng)絡(luò)這些年正在經(jīng)歷史無(wú)前例的飛速發(fā)展。從ChatGPT到“百模大戰(zhàn)”，大模型快速演進(jìn)的內(nèi)驅(qū)力始終依賴于算力這一引擎。

小白：而算力的基座無(wú)疑是GPU啦。所以歸根結(jié)底還是GPU托起了大模型的一片天啊！

大東：沒(méi)錯(cuò)。當(dāng)前GPU或者說(shuō)算力領(lǐng)域的競(jìng)爭(zhēng)，如同10年前的移動(dòng)互聯(lián)網(wǎng)領(lǐng)域競(jìng)爭(zhēng)或20年前PC機(jī)領(lǐng)域競(jìng)爭(zhēng)，未來(lái)一個(gè)階段內(nèi)，GPU帶動(dòng)前沿技術(shù)發(fā)展將成為一個(gè)主流趨勢(shì)，同樣的，安全問(wèn)題也將伴生出現(xiàn)。

小白：大東哥，那有沒(méi)有現(xiàn)實(shí)中的例子呢？

大東：當(dāng)然有。譬如針對(duì)區(qū)塊鏈的粉塵攻擊、針對(duì)CPU的幽靈攻擊等。

小白：東哥等一下，我找找鏈接。

木馬APP“釣魚緝毒”，收網(wǎng)眾多毒販團(tuán)體丨大東話安全

專欄丨大東話安全之Linux 的“幽靈”漏洞

區(qū)塊鏈的對(duì)手：粉塵攻擊丨大東話安全

大東：你沒(méi)發(fā)現(xiàn)這些事件里面蘊(yùn)含的規(guī)律嗎？

小白：發(fā)現(xiàn)了發(fā)現(xiàn)了，那就是：誰(shuí)火了，誰(shuí)就更容易被攻擊者盯上。

大東：是的。當(dāng)一項(xiàng)技術(shù)、系統(tǒng)或應(yīng)用成為業(yè)界主流的時(shí)候，其使用頻度會(huì)無(wú)可避免地提高，安全風(fēng)險(xiǎn)也隨之急劇抬升。

小白：我明白了東哥，照此規(guī)律，如果未來(lái)GPU成為算力產(chǎn)業(yè)的核心硬件，其脆弱性也會(huì)加劇，所以我們要格外關(guān)注其內(nèi)生安全問(wèn)題，對(duì)嗎？

大東：是的?；剡^(guò)頭來(lái)，我們就可以再來(lái)思考防范策略了。

小白：那這個(gè)攻擊方法適用于所有的GPU嗎？

大東：不完全是，但是這個(gè)攻擊適用于絕大多數(shù)主流的GPU，比如蘋果、英特爾、AMD、高通、Arm和英偉達(dá)提供的GPU。

小白：研究人員有在這些企業(yè)提供的GPU上進(jìn)行測(cè)試嗎？準(zhǔn)確率怎么樣？

大東：比如，在某主流 GPU上，它需要大約30分鐘的時(shí)間來(lái)處理目標(biāo)像素，并且準(zhǔn)確率能達(dá)到97%。而在另一種款系統(tǒng)上，它需要215分鐘才能完成這個(gè)過(guò)程。

小白：那就是先記下像素再還原，研究人員分析的所有GPU都使用專有的壓縮形式來(lái)優(yōu)化PC、手機(jī)或顯示目標(biāo)內(nèi)容的其他設(shè)備的內(nèi)存數(shù)據(jù)總線中的可用帶寬。壓縮方案因廠商而異，沒(méi)有文檔記錄，因此研究人員對(duì)每種壓縮方案進(jìn)行了逆向工程處理。

大東：沒(méi)錯(cuò)，因此未來(lái)的算力和AI安全問(wèn)題可以參照“4個(gè)零”來(lái)統(tǒng)籌約束設(shè)計(jì)，以統(tǒng)一多元數(shù)字安全韌性能力體系建設(shè)為核心藍(lán)本，從人機(jī)物到生態(tài)建設(shè)開(kāi)展設(shè)計(jì)，力圖做到提前研判趨勢(shì)，達(dá)到“料敵于先”。

小白：明白了東哥。順便上下“4個(gè)零”文章鏈接

網(wǎng)絡(luò)安全之歸零丨大東話安全

四、小白內(nèi)心說(shuō)

小白：今天東哥給我們講解的GPU算力安全問(wèn)題，在千行百業(yè)數(shù)字化轉(zhuǎn)型的時(shí)代，為我們敲響了警鐘。工信部等六部門聯(lián)合印發(fā)《算力基礎(chǔ)設(shè)施高質(zhì)量發(fā)展行動(dòng)計(jì)劃》，也為算力網(wǎng)絡(luò)安全前置化設(shè)計(jì)指明了方向，讓我們更加從容地應(yīng)對(duì)數(shù)字世界里層出不窮的AI安全問(wèn)題和流程安全問(wèn)題。