Luka hardware’owa o nazwie GATEBLEED

GATEBLEED to pierwsza luka hardware’owa, pozwalająca atakującym na kradzież danych treningowych AI poprzez obserwację timingów.

Naukowcy z North Carolina State University odkryli pierwszą lukę hardware’ową, nazwaną GATEBLEED, która pozwala atakującym naruszać prywatność danych użytkowników sztucznej inteligencji (AI) poprzez wykorzystanie fizycznego sprzętu, na którym działa AI. Artykuł zatytułowany „GATEBLEED: A Timing-Only Membership Inference Attack, MoE-Routing Inference, and a Stealthy, Generic Magnifier Via Hardware Power Gating in AI Accelerators” zostanie zaprezentowany na IEEE/ACM International Symposium on Microarchitecture (MICRO 2025), odbywającym się w dniach 18–22 października w Seulu w Korei Południowej. Luka dotyczy akceleratorów uczenia maszynowego (ML), które poprawiają wydajność modeli AI, jednocześnie obniżają zużycie energii. Pozwala na inferencję, czy dane były używane do treningu AI, oraz ujawnia inne poufne informacje, omijając zaawansowane detektory złośliwego oprogramowania.

GATEBLEED to atak na prywatność AI, który wykorzystuje zachowanie sprzętu, a nie kradzież danych przechowywanych w pamięci. Jak wyjaśnia Joshua Kalyanapu, pierwszy autor artykułu i doktorant na NC State, atak polega na kradzieży elementów przechowywanych w systemie, takie jak model AI czy jego hiperparametry, podczas gdy ataki na prywatność ujawniają informacje nie przechowywane bezpośrednio, jak dane treningowe, czy atrybuty wejściowe modelu. Luka ccjest pierwszą, która atakuje prywatność AI poprzez hardware.

Akceleratory ML, takie jak Intel’s Advanced Matrix Extensions (AMX) w 4. generacji procesorów Intel Xeon Scalable, są zaprojektowane do optymalizacji zadań AI. Chipsety włączają różne segmenty w zależności od użycia, co nazywa się power gatingiem, oszczędzając energię. To właśnie ta funkcja tworzy kanał timingowy, gdzie różnice w czasie wykonywania operacji ujawniają informacje. Na przykład, akcelerator zachowuje się inaczej przy danych znanych z treningu niż przy nowych, co pozwala atakującemu z dostępem do serwera na monitorowanie timingów i inferencję danych treningowych.

Atakujący mogą wykorzystać niestandardowy program bez specjalnych uprawnień do obserwacji fluktuacji w użytkowaniu akceleratora. Luka jest skuteczniejsza w głębokich sieciach i działa na popularnych bibliotekach ML, takich jak HuggingFace, PyTorch i TensorFlow. W testach osiągnięto 81% dokładności w ataku inferencji członkostwa oraz 100% w ujawnianiu wyboru ekspertów w modelach Mixture of Experts (MoE). GATEBLEED służy też jako ukryty kanał komunikacyjny i wzmacniacz ataków timingowych, omijając obrony cache i detektory mikroarchitektoniczne w realistycznych warunkach sieciowych.

Odkrycie GATEBLEED podnosi obawy dotyczące bezpieczeństwa dla użytkowników AI i odpowiedzialności dla firm. Znajomość danych treningowych otwiera drzwi do ataków adwersaryjnych i może dowodzić nieautoryzowanego użycia danych, co rodzi problemy prawne. Jako luka hardware’owa, nie może być po prostu załatana aktualizacją oprogramowania i wymaga redesignu sprzętu, co trwa lata.

GATEBLEED to ważne, ale i dotkliwe odkrycie, demonstrujące, jak optymalizacje hardware’owe mogą tworzyć nowe kanały wycieku prywatności w AI. Jako proof-of-concept, pokazuje realne ryzyko ataków nawet bez fizycznego dostępu do serwera. Kolejne kroki powinny skupić się na identyfikacji podobnych luk i rozwijaniu rozwiązań, które zachowują korzyści akceleratorów AI bez kompromisów bezpieczeństwa.

Szymon Ślubowski