一、小白剧场
大东:哎呦小白,你又在看新闻啊!
小白:是的东哥。我发现了一个重要的新闻,就在本月9日,工信部等六部门联合印发《算力基础设施高质量发展行动计划》,制定了到2025年的主要发展目标,提出完善算力综合供给体系、提升算力高效运载能力、强化存力高效灵活保障、深化算力赋能行业应用、促进绿色低碳算力发展、加强安全保障能力建设等六方面重点任务。
大东:嗯,我也看到这一条了。《行动计划》提出,到2025年,算力规模超过300 EFLOPS,智能算力占比达到35%;运载力方面,骨干网、城域网全面支持IPv6,SRv6等新技术使用占比达到40%;存储力方面,存储总量超过1800EB,先进存储容量占比达到30%以上;应用赋能方面,围绕工业、金融、医疗、交通、能源、教育等重点领域,各打造30个以上应用标杆。
小白:看来,未来的算力网络将是带动数字基础设施的核心引擎啊!
大东:你说的没错,而未来的算力网络可是数字基础设施中的“基础设施”。
小白:基础设施都有嵌套,学到了!
大东:既然说到算力建设,那我考考你,你知道算力网络最重要的硬件是什么吗?
小白:这可难不到我,就是GPU啊。
大东:是的。GPU是当前算力网络的核心硬件,正因如此,如果GPU安全出了问题,那后果会非常严重。
小白:啊?GPU出问题了吗东哥?快给我讲一讲!
大东:别着急,我们今天就是要来讲这件事。
二、话说事件
大东:这个安全问题影响绝大多数GPU。它的名字叫GPU.zip攻击,简单来说,一个恶意网站可以获取其他网站显示的用户名、密码及其他敏感的可视化数据,这里面其实蕴含了“同源性策略”原理。
小白:这个我知道,同源性原则构成了保护互联网的最基本的安全边界之一,那么这项攻击是不是可以绕过同源性原则?
大东:是的。
小白:GPU.zip攻击原理到底是什么呢?
图 1对用户去匿名化处理的像素窃取概念验证(PoC)(图片来源于网络)
大东:GPU.zip始于一个恶意网站,该网站将一个它想要读取的某个网页的链接放在iframe中,而iframe是一种常见的HTML元素,允许网站嵌入广告、图像或托管在其他网站上的其他内容。
小白:但是把链接放在iframe中应该也不会有危害吧,毕竟同源策略会阻止任何一个网站查看另一个网站的源代码、内容或最终的可视化产品。
大东:这一点你提的很好,同源策略会将一个网站域上的内容与所有其他网站域隔离开来。
小白:但是,利用GPU.zip攻击可以读取来自另一个不同域的网站显示的像素,然后,攻击者可以重新构建像素,让他们可以查看后一个网站显示的单词或图像。
大东:对咯,你琢磨一下攻击者是如何获取其他网站像素的?
小白:我想这跟传输数据时的带宽优化有关。攻击者可以很容易绕过限制,逐个窃取像素。因为数据压缩就是用更少的数据表达相同的信息,比如通信双方可以提前定义一种协议,用短的数据位来表示出现频率更高的信息,用长的数据位来表示出现频率更低的信息。
大东:孺子可教也。
小白:原来是这样绕过限制窃取数据的呀,我想起了我们以前的一篇文章:《保护数字安全——LED灯读取密码的挑战该何去何从?丨大东话安全 (qq.com)》里面同样用到了类似的技术。这种攻击方法并不直接破解密码,而是通过分析设备的物理特性来获取信息。
大东:你想想看,怎么样才能让这个攻击奏效呢?
小白:我觉得需要将恶意页面加载到Chrome或Edge浏览器中。然后在iframe中链接的页面不能被配置为拒绝被跨源网站嵌入。
三、大话始末
大东:对了。你再想一想,我们要怎样预防这种攻击呢?
小白:前面提到的两个条件,其中一个是在iframe中链接的页面不能被配置为拒绝被跨源网站嵌入。所以对其配置阻止就行吧。
大东:嗯,其实当HTML被嵌入到恶意网站上的iframe中时,可能导致安全威胁,这是十多年来公开的秘密。网站可以通过X-Frame-Options或Content-Security-Policy标头限制跨源嵌入显示用户名、密码及其他敏感内容的页面。
小白:通过文献阅读和东哥刚才的分析,我觉得这种GPU攻击方式是算力网络发展过程中必然会暴露的问题。
大东:的确,算力网络这些年正在经历史无前例的飞速发展。从ChatGPT到“百模大战”,大模型快速演进的内驱力始终依赖于算力这一引擎。
小白:而算力的基座无疑是GPU啦。所以归根结底还是GPU托起了大模型的一片天啊!
大东:没错。当前GPU或者说算力领域的竞争,如同10年前的移动互联网领域竞争或20年前PC机领域竞争,未来一个阶段内,GPU带动前沿技术发展将成为一个主流趋势,同样的,安全问题也将伴生出现。
小白:大东哥,那有没有现实中的例子呢?
大东:当然有。譬如针对区块链的粉尘攻击、针对CPU的幽灵攻击等。
小白:东哥等一下,我找找链接。
大东:你没发现这些事件里面蕴含的规律吗?
小白:发现了发现了,那就是:谁火了,谁就更容易被攻击者盯上。
大东:是的。当一项技术、系统或应用成为业界主流的时候,其使用频度会无可避免地提高,安全风险也随之急剧抬升。
小白:我明白了东哥,照此规律,如果未来GPU成为算力产业的核心硬件,其脆弱性也会加剧,所以我们要格外关注其内生安全问题,对吗?
大东:是的。回过头来,我们就可以再来思考防范策略了。
小白:那这个攻击方法适用于所有的GPU吗?
大东:不完全是,但是这个攻击适用于绝大多数主流的GPU,比如苹果、英特尔、AMD、高通、Arm和英伟达提供的GPU。
小白:研究人员有在这些企业提供的GPU上进行测试吗?准确率怎么样?
大东:比如,在某主流 GPU上,它需要大约30分钟的时间来处理目标像素,并且准确率能达到97%。而在另一种款系统上,它需要215分钟才能完成这个过程。
小白:那就是先记下像素再还原,研究人员分析的所有GPU都使用专有的压缩形式来优化PC、手机或显示目标内容的其他设备的内存数据总线中的可用带宽。压缩方案因厂商而异,没有文档记录,因此研究人员对每种压缩方案进行了逆向工程处理。
大东:没错,因此未来的算力和AI安全问题可以参照“4个零”来统筹约束设计,以统一多元数字安全韧性能力体系建设为核心蓝本,从人机物到生态建设开展设计,力图做到提前研判趋势,达到“料敌于先”。
小白:明白了东哥。顺便上下“4个零”文章链接
四、小白内心说
小白:今天东哥给我们讲解的GPU算力安全问题,在千行百业数字化转型的时代,为我们敲响了警钟。工信部等六部门联合印发《算力基础设施高质量发展行动计划》,也为算力网络安全前置化设计指明了方向,让我们更加从容地应对数字世界里层出不穷的AI安全问题和流程安全问题。