針對 NVIDIA GPU 的新型攻擊 Rowhammer 可實現對整個系統的完全控制

作者 ｜ Craig Risi

譯者 ｜ 平川

安全研究人員 演示 了一種針對 NVIDIA GPU 的新型攻擊 Rowhammer 。該攻擊可從內存損壞逐步升級至完全控制系統，這標志著硬件層安全風險的重大轉變。正如近期學術研究中描述的那樣（ Ars Technica 也做過重點報道），這些被稱為 GDDRHammer 和 GeForce/GeForge 的攻擊利用了 GDDR6 GPU 內存的漏洞，可以獲得任意的讀寫權限，最終使攻擊者能夠控制主機 CPU 和系統內存。

這些研究發現基于之前對 Rowhammer 漏洞的研究。Rowhammer 是 DRAM 中一個早已為人所知的硬件缺陷：通過反復訪問（“敲擊”）內存行，可以誘導相鄰內存單元發生 位翻轉，從而繞過傳統的隔離機制。雖然一直以來該漏洞都是與系統 RAM 相關，但研究人員現在已經證明，類似的技術也可以應用在 GPU 內存上，這極大地擴展了攻擊面，特別是在共享 GPU 的環境中，例如云基礎設施和 AI 訓練平臺。

與早期攻擊主要針對 GPU 且主要影響應用程序行為（例如降低 AI 模型準確性）不同，這些新技術展現出了端到端的入侵能力。通過在 GPU 內存中精心誘導實現位翻轉，攻擊者可以操縱頁表和內存映射，從而有效地將 GPU 與 CPU 內存空間連接起來。這使得攻擊者能夠在未經授權的情況下訪問系統內存，在某些情況下甚至可以完全控制整臺機器。

研究 表明，像 GDDRHammer 這樣的攻擊能夠產生大量針對性的位翻轉，某些情況下每個內存體超過 100 次，同時還能繞過現有的 GPU 防護機制。更高級的變種甚至可以將 GPU 內存訪問重定向到 CPU 內存，使攻擊者能夠讀取或修改 GPU 之外的敏感數據。

這對 AI 和云計算環境的影響尤為嚴重，因為在這些環境中，GPU 通常會被不同的工作負載和用戶共享。在這種情況下，攻擊者可能無需直接訪問受害者的數據，而只需要共享同一塊 GPU 硬件的訪問權限，即可干擾工作負載或提升權限。這使得多租戶 GPU 集群成為這類攻擊的高風險目標。

該研究還凸出了一個更廣泛的發展趨勢：隨著 GPU 逐漸發展成為現代計算的核心，從生成式 AI 到高性能工作負載，都需要依賴它。GPU 正日益成為安全威脅格局的一部分，而不僅僅是性能加速器。

由于 Rowhammer 式攻擊具有硬件層面的特性，所以防范這類攻擊仍然非常具有挑戰性。潛在的防御措施包括：啟用 糾錯碼（ECC）內存、提高內存刷新頻率，或通過 IOMMU 等技術限制 GPU 對系統內存的訪問。然而，這些措施往往會影響性能，而且面對復雜的攻擊模式時效果有限。

更復雜的是，有 研究 表明，即使是 DRAM 中的現代緩解技術，也未必總能完全防止 Rowhammer 攻擊，尤其是在內存密度不斷提高、攻擊手段不斷發展變化的情況下。

基于 GPU 的 Rowhammer 攻擊的出現，將這一存在十余年的漏洞擴展到了新的領域，這是硬件安全威脅顯著升級的標志。隨著攻擊者越來越多地將目標鎖定在共享基礎設施和計算棧（computing stack）的底層部分，該研究強調，需要采用跨層安全策略，將硬件防護、系統級隔離以及基于工作負載的防御措施結合起來。

對于高度依賴 GPU 的組織而言，尤其是在 AI 和云環境中，其中傳達出的信息非常明確：硬件已經不再是值得信賴的防護邊界。相反，在不斷演變的威脅形勢下，必須對硬件進行主動監控、強化防護，并將其納入更廣泛的安全策略之中。

https://www.infoq.com/news/2026/04/rowhammer-attacks-nvidia/

聲明：本文由 InfoQ 翻譯，未經許可禁止轉載。