Мир искусственного интеллекта полон программных уязвимостей, однако сегодня мы сосредоточимся на ином уровне угрозы — аппаратном. Речь пойдет об атаке GDDRHammer. Я подробно разберу её физические механизмы реализации и сопоставим этот метод с аналогичной по классу атакой GeForge.
Принцип Rowhammer
Ещё в 2014 году эксперты выяснили, что интенсивное обращение к конкретным строкам оперативной памяти может привести к спонтанному изменению битов в соседних сегментах. Поскольку информация хранится в виде электрического заряда, подобные манипуляции создают помехи, способные переключать состояния битов (с 0 на 1 и наоборот).
Использование таких сбоев открывает злоумышленникам путь к повышению привилегий и компрометации процессора. Этот вектор атак получил название Rowhammer, по аналогии с многократными ударами «молота» по выбранной строке (row).
В 2025 году объектом нападения стала видеопамять. GPUHammer стал первым успешным опытом применения Rowhammer для GDDR6-памяти в дискретных видеокартах NVIDIA.
В отличие от CPU-ориентированных атак, где акцент делается на две целевые строки, GPUHammer задействует комплексный подход из трех этапов.
Во-первых, был выполнен реверс-инжиниринг проприетарных драйверов NVIDIA, что позволило выявить функцию, раскрывающую физическую структуру отображения виртуальной памяти на банки GDDR6. Это дало возможность точно идентифицировать «строки-агрессоры» для проведения атаки.
Во-вторых, было создано специализированное CUDA-ядро. Параллельный запуск тысяч потоков создавал настолько мощный поток запросов, что встроенный механизм защиты контроллера памяти (Target Row Refresh) не справлялся с нагрузкой.
В-третьих, выполнение операции синхронизировали с циклами обновления памяти, чтобы накопленные электрические помехи сохранялись максимально долго до следующего обновления.
Итогом стало контролируемое искажение битов в таблицах страниц GPU, что привело к нарушению изоляции памяти — фундаментальный шаг к полной компрометации системы. Тогда удалось добиться лишь восьми сбоев на RTX A6000: этого хватало для демонстрации концепта, но было мало для полноценного взлома.
Атака GDDRHammer
Авторы GPUHammer усовершенствовали свои наработки, увеличив эффективность в 32 раза — в среднем 129 «флипов» битов на каждый банк памяти RTX A6000. Но главное достижение — превращение «игры в рулетку» в точную инженерную дисциплину.
Почему это стало возможным? Прорыв обеспечили две технологии: техника «подготовки памяти» (memory massaging) и использование массового параллелизма GPU.
Техника подготовки памяти (Memory Massaging)
Классический Rowhammer на процессорах часто нейтрализуется системой Target Row Refresh (TRR), которая отслеживает частоту обращений и принудительно обновляет соседние строки при превышении лимита. Это похоже на попытку остановить качели, как только они начинают набирать амплитуду.
GDDRHammer обходит TRR через технику memory massaging. Суть метода заключается в принудительном перемещении критических данных в те области видеопамяти, где защита TRR менее эффективна или где физическая структура ячеек более восприимчива к помехам. Это выполняется через стандартные системные вызовы вроде cudaMalloc. Кроме того, атака эффективно работает даже вслепую, выявляя уязвимые участки на основе анализа времени доступа и косвенных показателей.
Параллелизм как множитель эффективности
Второй аспект успеха — использование архитектурных особенностей GPU. В отличие от CPU, графический процессор способен оперировать тысячами параллельных потоков (warps). Когда тысячи таких потоков одновременно атакуют одни и те же строки, интенсивность воздействия многократно превышает порог срабатывания защитных механизмов TRR.
Исследователи разработали CUDA-ядро, которое выполняет циклы чтения из выбранных строк с высокой интенсивностью:
__global__ void hammer_kernel(volatile uint32_t *target) {
// Каждый поток тысячи раз читает из двух соседних строк
for (int i = 0; i < HAMMER_ITERATIONS; i++) {
volatile uint32_t a = target[ROW_A_OFFSET];
volatile uint32_t b = target[ROW_B_OFFSET];
// Компилятор не должен оптимизировать эти операции
}
}Результат такой комбинации — до 129 искажений на банк, что позволяет не просто повреждать данные, а точечно модифицировать структуры управления памятью.
Ключевые цели
Основная угроза заключается в возможности воздействия на таблицы страниц GPU. Эти структуры сопоставляют виртуальные адреса с физическими в видеопамяти. Каждая запись содержит данные о правах доступа и физическом адресе.
Малейшее изменение бита в такой таблице позволяет злоумышленнику перенаправить запросы на чтение/запись в чужие области памяти. Благодаря memory massaging и итеративному подбору параметров, авторы GDDRHammer добились предсказуемого изменения конкретных записей, что практически гарантирует успех атаки.
Выход за пределы видеопамяти
Самое опасное развитие событий — использование механизма Unified Memory и DMA. Скомпрометировав таблицу страниц, злоумышленник может подменить адрес в VRAM на адрес в основной оперативной памяти (RAM) процессора. Это дает возможность читать и изменять системные данные, включая пароли, ключи шифрования и структуры ядра ОС.
Как отметил исследователь Эндрю Квонг, этот метод позволяет через уязвимость в GPU полностью скомпрометировать весь компьютер.
Технические аспекты
Атака тестировалась на RTX A6000 (архитектура Ampere). Успех обеспечивался тщательной калибровкой: точным выбором строк-агрессоров, расчетом итераций для обхода TRR и использованием паттернов («водяных знаков») для верификации повреждений. Высокая повторяемость результата подтверждает, что даже при частичных неудачах атакующему хватает ресурсов для достижения цели.
GDDRHammer и GeForge
Параллельно развивался проект GeForge, атакующий более высокий уровень — каталог таблиц страниц, что позволяет захватить контроль над целыми диапазонами памяти. На потребительских картах вроде RTX 3060 GeForge показала еще большую эффективность (1171 переворот бита на банк). Столь высокая синхронность исследований привела к уникальному событию: конкурирующие группы разработчиков решили объединить свои усилия и опубликовать результаты совместно.
Перспективы защиты
На данный момент ключевыми мерами противодействия остаются активация ECC (коррекция ошибок) и использование IOMMU. В долгосрочной перспективе потребуется пересмотр аппаратной архитектуры GPU для повышения устойчивости к атакам семейства Rowhammer.
