As falhas de segurança não escolhem vítimas, afetando desde programas do dia a dia até aos componentes físicos dos nossos computadores. Se até agora estávamos habituados a ouvir falar de vulnerabilidades em sistemas operativos ou processadores, a mais recente ameaça foca-se num dos componentes mais valiosos da atualidade: as placas gráficas (GPU) utilizadas em inteligência artificial. O novo ataque, apelidado de GPUHammer, consegue reduzir a precisão de um modelo de IA de forma drástica, provando que nem o hardware de topo está seguro.
Segundo informações do Barrack AI, o GPUHammer insere-se na categoria de ataques Rowhammer, conhecidos por manipular a memória RAM. Historicamente, já assistimos a variações deste ataque a afetar processadores AMD (com o ZenHammer nas arquiteturas Zen 2 e Zen 3) e até módulos de memória DDR5 de marcas como a SK Hynix. A grande novidade do GPUHammer é o seu alvo: a memória dedicada das placas gráficas.
O Impacto Catastrófico de um Único Bit
As GPUs são o motor por trás do treino e funcionamento dos modelos de inteligência artificial, acedendo constantemente à sua memória para processar dados complexos. O GPUHammer explora esta dependência ao criar interferências elétricas. De forma simplificada, o ataque "martela" repetidamente uma linha de células de memória, criando um distúrbio que altera o estado (os bits) das células adjacentes.
Os resultados desta manipulação são surpreendentes pela sua eficácia. Numa demonstração prática com um modelo de IA que apresentava uma precisão de 80%, a introdução do GPUHammer fez com que essa mesma precisão caísse para uns irrisórios 0,1%. O mais alarmante? Todo este caos foi gerado pela alteração de apenas um bit na memória da placa gráfica.
A Resposta da NVIDIA e o Custo da Segurança
A investigação que expôs o GPUHammer utilizou como cobaia uma poderosa NVIDIA RTX A6000, equipada com arquitetura Ampere e 48 GB de memória GDDR6. Os investigadores conseguiram ultrapassar três grandes obstáculos: mapear a organização dos bancos de memória, realizar ataques massivos em paralelo (até 500.000 em simultâneo) e contornar as proteções internas da DRAM. Nos testes com cinco modelos de IA ImageNet, a precisão afundou entre 56% a 80%.
A NVIDIA não tardou a reagir a esta descoberta, apontando a ativação do sistema ECC (Error Correction Code) como a solução para mitigar o problema. A correção passa por usar o comando "nvidia-smi -e 1" e reiniciar o sistema.
No entanto, esta "cura" tem efeitos secundários consideráveis. A ativação do ECC exige recursos adicionais, resultando numa perda de desempenho na ordem dos 10% durante a utilização da IA. Além disso, a capacidade de memória útil da placa gráfica sofre uma redução de 6,25%. Para empresas e investigadores que dependem de cada gota de desempenho das suas GPUs, esta solução apresenta-se como um compromisso difícil entre segurança máxima e eficiência de processamento.
Nenhum comentário
Seja o primeiro!