克雷西henry發(fā)自凹非寺量子位|公眾號(hào)QbitAI

英偉達(dá)GPU，被白帽黑客發(fā)現(xiàn)了嚴(yán)重漏洞。

通過(guò)一種名為GPUHammer的攻擊方式，可以讓GPU上跑的大模型，準(zhǔn)確率從80%直接掉到0.02%，可以說(shuō)是渣都不剩。

多倫多大學(xué)的研究人員形容，這種攻擊就像在模型中引發(fā)災(zāi)難性的腦損傷。

目前，研究人員已經(jīng)在英偉達(dá)RTXA6000上成功測(cè)試了這種攻擊，但不排除其他型號(hào)也可能受到影響。

英偉達(dá)這邊建議用戶實(shí)施一項(xiàng)防御措施，但這種措施會(huì)讓模型性能下降10%。

那么，這個(gè)漏洞到底是怎么一回事呢？

不是Bug，而是“物理攻擊”

GPUHammer是首個(gè)成功攻擊GPU顯存的Rowhammer攻擊。

它并不是通過(guò)代碼篡改模型文件，而是直接對(duì)你的顯存“物理動(dòng)手”。

它屬于Rowhammer攻擊的一類(lèi)：攻擊者通過(guò)反復(fù)“敲擊”內(nèi)存某一行，引發(fā)相鄰行中的比特翻轉(zhuǎn)（從0變成1，從1變成0），從而悄悄篡改數(shù)據(jù)。

以前Rowhammer只能攻擊CPU用的內(nèi)存，現(xiàn)在，GPU也中招了。

在GPUHammer中，研究人員成功翻轉(zhuǎn)了深度學(xué)習(xí)模型中的權(quán)重指數(shù)位。

比如FP16浮點(diǎn)數(shù)，只要翻轉(zhuǎn)一個(gè)關(guān)鍵位，指數(shù)就能飆升16倍——模型準(zhǔn)確率直接塌了。

在實(shí)驗(yàn)中，研究人員對(duì)AlexNet、VGG、ResNet等經(jīng)典神經(jīng)網(wǎng)絡(luò)架構(gòu)發(fā)起了攻擊。

結(jié)果表明，即使是單個(gè)比特的翻轉(zhuǎn)也可能導(dǎo)致模型性能的徹底崩潰。在受到攻擊后模型的準(zhǔn)確率就會(huì)從80%（BaseAcc）直接暴跌至0.1%（DegradedAcc.)。

在這種情況下，自動(dòng)駕駛汽車(chē)可能會(huì)錯(cuò)誤地識(shí)別交通標(biāo)志，而在醫(yī)療AI情景中則可能發(fā)生誤診。

而在云機(jī)器學(xué)習(xí)平臺(tái)或VDI設(shè)置等共享GPU環(huán)境中，惡意租戶可能會(huì)對(duì)相鄰的工作負(fù)載發(fā)起GPUHammer攻擊，從而影響推理準(zhǔn)確性或破壞緩存的模型參數(shù)。

可以說(shuō)，GPUHammer對(duì)AI時(shí)代的基礎(chǔ)設(shè)施有著毀滅性的打擊。

那么，有沒(méi)有什么辦法可以阻止這東西呢？

為了回應(yīng)GPUHammer的攻擊，英偉達(dá)發(fā)布了一份安全通知。

英偉達(dá)提醒用戶可以開(kāi)啟一項(xiàng)名為系統(tǒng)級(jí)糾錯(cuò)碼（ECC）的保護(hù)措施。

ECC（糾錯(cuò)碼）的原理是：在每段內(nèi)存數(shù)據(jù)旁邊，額外加幾位“校驗(yàn)碼”。一旦有比特翻轉(zhuǎn)，比如0變成了1，ECC就能自動(dòng)識(shí)別并糾正。

不過(guò)它只能修復(fù)單個(gè)比特錯(cuò)誤，遇上雙比特翻轉(zhuǎn)，只能發(fā)出警告，沒(méi)法補(bǔ)救。

此外，ECC還是一把“雙刃劍”，在緩解GPUHammer的同時(shí)，還會(huì)導(dǎo)致GPU性能的衰退。

研究團(tuán)隊(duì)表示，系統(tǒng)一般默認(rèn)禁用ECC，因?yàn)樗鎯?chǔ)在帶外的單獨(dú)內(nèi)存區(qū)域中，啟用它會(huì)導(dǎo)致6.5%的內(nèi)存開(kāi)銷(xiāo)和減速。而在A6000GPU上啟用ECC會(huì)導(dǎo)致12%內(nèi)存帶寬損失，機(jī)器學(xué)習(xí)應(yīng)用速度會(huì)降低3%-10%

別怕，你的游戲不會(huì)崩

不少網(wǎng)友在評(píng)論區(qū)，發(fā)出了疑問(wèn)：GPUHammar不會(huì)影響我打游戲吧？

放心，研究團(tuán)隊(duì)表明，雖然目前尚未發(fā)現(xiàn)影響GPU比特翻轉(zhuǎn)的根本原因，但不同的GPU配置、設(shè)計(jì)在受Rowhammer攻擊時(shí)有著明顯區(qū)別。

例如，RTX3080、A100等芯片就采用了與A6000GDDR完全不同的DRAM架構(gòu)，這些架構(gòu)的存在使芯片避開(kāi)了Rowhammer的影響。

而且，在未來(lái)的GPU的開(kāi)發(fā)中，如果GPU集成了片上ECC（on-dieECC)，就可以糾正單位翻轉(zhuǎn)，并默認(rèn)檢測(cè)雙位翻轉(zhuǎn)。這就進(jìn)一步使Rowhammer對(duì)GPU的攻擊更加困難。

此外，在云端環(huán)境中，NVIDIA的MIG和機(jī)密計(jì)算（CC）技術(shù)通過(guò)內(nèi)存隔離，能有效阻止多租戶共享同一DRAM存儲(chǔ)，從而防止Rowhammer類(lèi)攻擊生效。

不過(guò)，AI越強(qiáng)大，盤(pán)外招也越隱蔽，GPUHammer只是開(kāi)始，未來(lái)模型的安全建設(shè)才剛剛開(kāi)始。

[1]https://arstechnica.com/security/2025/07/nvidia-chips-become-the-first-gpus-to-fall-to-rowhammer-bit-flip-attacks/?comments-page=1#comments[2]https://thehackernews.com/2025/07/gpuhammer-new-rowhammer-attack-variant.html

別再吹《第一狂妃》了,蕭歌這部9.8分古言女強(qiáng)文才是讀者心頭愛(ài)

別再吹《第一狂妃》了，蕭歌這部9.8分古言女強(qiáng)文才是讀者心頭愛(ài)！入坑指南：“丹藥只有你剛才拿出來(lái)那些嗎？”蕭千寒從來(lái)沒(méi)有懷疑過(guò)自己能修煉，也許是廢材，但只要有堅(jiān)韌的信心，她相信自己能夠修煉-。不過(guò)現(xiàn)在聽(tīng)了淺紫的話后，更加確定她可以修煉，而且似乎天賦要比蕭雨洛更好。只不過(guò)眼下她關(guān)心的并不是這些|。淺紫點(diǎn)頭，“是 “隨你吧||。只不過(guò)若跟著我，人前不許說(shuō)話，不許給那個(gè)男人打小報(bào)告，要聽(tīng)我的命令行事，要乖巧。否則你就哪來(lái)的回哪兒去！”她一個(gè)人也是無(wú)聊，有這么個(gè)小家伙陪著她，總算是可以解悶。更何況她一窮二白，沒(méi)什么東西值得人家惦記__。話落，蕭傾城不理會(huì)小家伙，轉(zhuǎn)身走到落滿灰塵的梳妝臺(tái)前，伸出手擦了一把鏡是什么。

言情小說(shuō)《傾城狂妃:廢材三小姐》為什么讓你想成為書(shū)中的女一號(hào)

言情小說(shuō)《傾城狂妃：廢材三小姐》為什么讓你想成為書(shū)中的女一號(hào)第九章傾城之容“傾城，你娘的現(xiàn)錢(qián)早就變成了莊子和商鋪。這些房契過(guò)戶到你名下也需要不少日子_——。來(lái)，聽(tīng)爹的話，先簽字畫(huà)押，回頭就把這些都給你————?！笔挿逡桓闹暗耐{口吻，開(kāi)始誘騙?！皢柰?，我不管|。我昨天做夢(mèng)夢(mèng)見(jiàn)娘了，娘說(shuō)必須把嫁妝錢(qián)說(shuō)完了-——。
接下來(lái)小編要和大家一起分享的是《神醫(yī)狂妃，廢材三小姐》遇見(jiàn)她，讓他失了心，動(dòng)了情，一寵再寵_。一起來(lái)看看吧！ 第一本：《神醫(yī)殺手：廢材小姐要逆天》作者：傻沫沫內(nèi)容簡(jiǎn)介：她，21世紀(jì)的頂級(jí)殺手，制毒醫(yī)傷不在話下，卻因一顆小小的乳石喪命——。一朝醒來(lái)，她成了追美男喪命于馬車(chē)的廢材小姐——|?！昂?！廢材？那還有呢？