La revolución de la inteligencia artificial se ha convertido en la gallina de los huevos de oro. En España, firmas como AMD, Qualcomm o incluso Apple pugnan por liderar esta ola que ha marcado casi totalmente 2023. Por eso los fallos en este campo pueden ser críticos. Uno de los más graves muestra una vulnerabilidad crítica en modelos de GPU, usadas usualmente en IA, que permite robar importantes cantidades de datos.
Este fallo, descubierto por los investigadores de Trail of Bits y expuesta en una investigación por el medio Wired, ha sido bautizado como LeftoverLocals, y afecta a un importante abanico de modelos de distintas compañías, tales como Apple, Qualcomm o AMD. Un problema enorme, ya que con el aumento de los desarrollos de sistemas de inteligencia artificial, la demanda de chips con unidades GPU está siendo mucho más grande.
Y es que estas firmas suelen recurrir a estas GPUs (unidades de procesamiento gráfico) para conseguir la potencia computacional necesaria para entrenar y ejecutar los llamados modelos de lenguaje grande, o LLM (Large Language Model). Esta vulnerabilidad permitiría robar ingentes cantidades de datos almacenados en estas GPUs.
Una vulnerabilidad crítica
¿Cómo funciona LeftoverLocals? Según los investigadores de Trail of Bits, es necesario que previamente los atacantes ya hayan tenido un cierto acceso al sistema operativo del dispositivo al que se le haga objetivo. Con un software malicioso, es posible acceder a la memoria local de la GPU afectada, lugar donde se almacenan los datos que se están procesando para estos LLM.
Y es que tal y como explica Wired, tanto los ordenadores como los servidores comunes tienen un diseño muy concreto: almacenar sus datos en silos, para que de esta forma los usuarios involucrados puedan compartir los recursos de procesamiento sin que tengan la posibilidad de acceder a los datos de los demás usuarios. LeftoverLocals acaba precisamente con estas barreras, permitiendo acceder a estos datos almacenados.
Un ataque aprovechando esta vulnerabilidad da total acceso a un atacante a estos datos, pudiendo exponer lo que haya almacenado en la memoria local de estas GPUs. Datos tanto privados como sensibles, que pueden involucrar desde el trabajo referente al entrenamiento de los LLM como datos personales y privados de otros usuarios convencionales.
De hecho, los investigadores demostraron que esto era posible. En una prueba, los investigadores realizaron un ataque explotando la vulnerabilidad para acceder a la memoria local de la GPU de un objetivo. Este objetivo pide a un LLM que le diga detalles sobre el propio medio Wired. En apenas unos segundos, el dispositivo de los investigadores —es decir, el atacante— consigue recabar una buena parte de la respuesta que el mismo LLM proporciona.
Lo más preocupante de todo esto es que el programa usado por los investigadores para emular el ataque es increíblemente sencillo: sólo usaba 10 líneas de código. Por si fuera poco, encontraron la vulnerabilidad en GPUs de Apple, AMD y Qualcomm, algunas de las más habituales. De momento, no han encontrado pruebas que verificaran que las GPUs de Nvidia, ARM o Intel tuvieran esta vulnerabilidad.
En total, se hicieron pruebas con hasta 11 chips de siete fabricantes distintos, dentro de varios marcos de programación. Algunos de los chips GPU afectados incluyeron las AMD Radeon RX 7900 XT o las ubicadas en dispositivos de Apple, como los iPhone 12 Pro o MacBook Air M2.
Soluciones no tan fáciles
Apple confirmó que en sus últimos procesadores presentados a finales de 2023, tales como los Apple M3 y A17 para Mac e iPhone respectivamente, se realizaron ajustes para corregir las vulnerabilidades. Las pruebas en dispositivos más antiguos son mixtas. Dispositivos como los iPad Air con A12 parecen haber sido parcheados, pero los MacBook Air M2 siguen estando afectados, al menos si nos basamos en pruebas realizadas el pasado 10 de enero.
Por otro lado, están Qualcomm y AMD. La primera aseguró que estaba en "proceso" de lanzar actualizaciones de seguridad a clientes afectados, publicando parches de firmware que los investigadores de Trail of Bits confirmaron que estaban siendo aplicados. AMD, por su parte, ya detalló sus planes para ofrecer soluciones a esta vulnerabilidad, en forma de "mitigaciones opcionales" que se publicarán en marzo.
Hay que recordar que fabricantes como Google hacen uso de estas GPUs en dispositivos concretos, como los portátiles con ChromeOS, que usan tanto GPUs AMD como Qualcomm. Google asegura ser consciente de este problema y explica que ya ha publicado "correcciones" para los dispositivos afectados.
Trail of Bits ya ha advertido que este es un problema serio, ya que aunque los parches estén apareciendo paulatinamente, aplicarlos no es algo fácil. Especialmente teniendo en cuenta la necesidad de que estos proliferen, algo que depende al final de muchos factores: usuarios finales, fabricantes de dispositivos, etcétera.
Heidy Khlaaf, directora de ingeniería de IA y garantía de aprendizaje automático de Trail of Bits, especifica que este problema va más allá de la IA: "Existe una preocupación de seguridad más amplia por el hecho de que estas GPUs no sean tan seguras como deberían y filtren una gran cantidad de datos. [...] Estamos analizando entre 5 y 180 megabytes. En el mundo de las CPUs, revelar sólo un poco ya es demasiado".