Underc0de - La Casa de los Informáticos

NVIDIA ha emitido una advertencia urgente a sus clientes sobre una nueva variante del ataque RowHammer, denominada GPUHammer, que compromete la integridad de sus unidades de procesamiento gráfico (GPU), afectando directamente la precisión de los modelos de inteligencia artificial (IA). La compañía insta a los usuarios a habilitar los códigos de corrección de errores (ECC) a nivel de sistema como medida de defensa.

¿Qué es GPUHammer y por qué representa una amenaza?

GPUHammer es el primer exploit conocido de tipo RowHammer dirigido específicamente a GPUs, demostrado en modelos como la NVIDIA A6000 con memoria GDDR6. Este ataque permite que usuarios maliciosos manipulen la memoria compartida de una GPU para modificar datos almacenados por otros usuarios, todo sin acceso directo a sus cargas de trabajo.

En una prueba realizada por investigadores de la Universidad de Toronto, se comprobó que un solo cambio de bit podía reducir la precisión de un modelo de IA de ImageNet del 80% al 0,1%. Esto convierte a GPUHammer no solo en una amenaza para la seguridad, sino en una vulnerabilidad crítica para la fiabilidad de los modelos de IA.

RowHammer: de la DRAM a la GPU

RowHammer es una vulnerabilidad a nivel de hardware que afecta a la memoria DRAM. Mediante accesos repetitivos a una fila de memoria, un atacante puede provocar interferencias eléctricas que alteran los bits en filas adyacentes. A diferencia de Spectre y Meltdown, que explotan fallos en la ejecución especulativa de CPUs, RowHammer actúa directamente sobre el comportamiento físico de la memoria.

En 2022, investigadores de la Universidad de Michigan y Georgia Tech combinaron RowHammer y Spectre en un ataque denominado SpecHammer, capaz de insertar valores maliciosos en la memoria de un dispositivo víctima mediante cambios de bits, facilitando así ataques especulativos.

GPUHammer extiende esta técnica a las GPUs, incluso en presencia de mitigaciones tradicionales como Target Row Refresh (TRR), exponiendo una nueva superficie de ataque poco explorada hasta ahora.

Impacto en la inteligencia artificial y el aprendizaje automático

El principal objetivo de GPUHammer es corromper modelos de red neuronal profunda (DNN) sin alterar los datos de entrada. Esta manipulación subrepticia puede degradar drásticamente la precisión de modelos de IA, afectando aplicaciones críticas como:

• Vehículos autónomos
• Motores de detección de fraudes
• Diagnóstico médico asistido por IA
• Plataformas de IA periférica

En entornos de GPU compartidas, como servicios en la nube o infraestructuras de escritorio virtual (VDI), un atacante podría explotar GPUHammer para afectar cargas de trabajo adyacentes, introduciendo riesgos entre inquilinos que no suelen contemplarse en los esquemas de seguridad actuales.

Mitigaciones recomendadas por NVIDIA

Para reducir el riesgo de ataques GPUHammer, NVIDIA recomienda habilitar ECC mediante el comando:


Y verificar su estado con:


La activación de ECC permite detectar y corregir errores de memoria causados por fluctuaciones de voltaje o manipulaciones intencionadas. Sin embargo, esta protección puede conllevar:

• Hasta un 10% de ralentización en cargas de inferencia
• Reducción del 6,25% en capacidad de memoria disponible

Por ello, se sugiere habilitar ECC selectivamente en nodos de entrenamiento o tareas de alto riesgo. Además, se recomienda supervisar registros del sistema como /var/log/syslog o dmesg en busca de errores corregidos que puedan indicar intentos de explotación en curso.

Cabe destacar que las GPUs más recientes, como la NVIDIA H100 o la RTX 5090, integran ECC en el chip, ofreciendo protección nativa frente a ataques de esta clase.

 Riesgos regulatorios y de cumplimiento

La corrupción silenciosa de modelos de IA mediante ataques de inversión de bits plantea graves riesgos regulatorios, especialmente en sectores como:

• Sanidad
• Finanzas
• Defensa
• Sistemas autónomos

Una inferencia errónea causada por un modelo dañado podría infringir normativas de seguridad, integridad de datos y explicabilidad, reguladas por estándares como ISO/IEC 27001 o la Ley de IA de la Unión Europea. Por ello, las organizaciones que dependen intensamente de GPUs deben considerar la memoria de GPU como parte esencial de su postura de seguridad y auditoría.

CrowHammer y ataques poscuánticos

El descubrimiento de GPUHammer coincide con otra investigación avanzada: CrowHammer, una variante de RowHammer presentada por investigadores de NTT Social Informatics Laboratories y CentraleSupelec. Este ataque permite comprometer FALCON (FIPS 206), un esquema de firma digital poscuántico seleccionado por el NIST para su estandarización.

Según el estudio, un solo cambio de bit en la tabla de distribución de Falcon puede sesgar la salida lo suficiente como para permitir la recuperación completa de la clave criptográfica, exponiendo incluso algoritmos diseñados para resistir la computación cuántica.

En fin, GPUHammer representa una nueva clase de amenazas de hardware, dirigidas no solo a vulnerar sistemas, sino a socavar la integridad fundamental de los modelos de inteligencia artificial. Su aparición debe servir como una alerta para todos los sectores que dependen de GPUs para sus operaciones críticas.

La habilitación de ECC, la segmentación de cargas de trabajo y la inclusión de la memoria GPU en auditorías de seguridad son pasos esenciales para proteger los modelos de IA frente a manipulaciones invisibles. A medida que la IA continúa expandiéndose, la seguridad de la infraestructura que la sustenta se vuelve más crucial que nunca.

Fuente: https://thehackernews.com/