GPUHammer：首个针对NVIDIA GPU的Rowhammer攻击专业的技术

技术突破：GPU首次沦陷

多伦多大学网络安全研究团队在硬件级攻击领域取得重大突破，成功演示了首个专门针对独立NVIDIA显卡的Rowhammer攻击——GPUHammer。这项针对配备GDDR6显存的NVIDIA A6000显卡的研究，将已有十年历史的Rowhammer漏洞影响范围从传统CPU内存扩展到了GPU领域。

由Chris S. Lin、Joyce Qu和Gururaj Saileshwar领导的研究团队克服了重大工艺障碍，达成了此前被认为不可能完成的攻击。他们的GPUHammer攻击成功在A6000显卡的4个DRAM存储体中诱导出8位翻转，证明图形专用GDDR显存同样存在困扰CPU内存多年的干扰攻击漏洞。

研究人员在论文中表示：首个针对NVIDIA显卡的系统性Rowhammer攻击。"该攻击需要开发新型技术，包括逆向工程专有GDDR DRAM行映射关系，以及创建针对GPU优化的内存访问方案来增强"锤击"强度。就是"这

AI系统面临现实威胁

这项研究的实际影响远超学术范畴。研究团队证实，这些位翻转可导致机器学习模型出现灾难性的精度下降，在AlexNet、VGG16、ResNet50、DenseNet161和InceptionV31等主流神经网络中观察到最高达80%的精度损失。

考虑到GPU支撑着云环境和企业环境中绝大多数AI推理工作负载，这一漏洞尤其令人担忧。攻击针对FP16格式权重中的指数最高有效位，以指数级改变参数值，从而显著降低模型精度。在某些案例中，基线精度80%的模型仅因一个精心设计的位翻转就降至不足0.5%。

技术挑战与创新方案

研究人员在将传统Rowhammer技术适配GPU架构时面临独特挑战。相比CPU，GPU具有约4倍的内存延迟和更快的刷新速率，使得传统"锤击"技巧失效。研究团队通过开发利用GPU吞吐能力的并行化锤击内核解决了这一问题，实现了每个刷新窗口接近50万次的激活频率。

此外，GPU内存映射的专有特性要求创新的逆向工程方法。与可访问物理地址的CPU不同，NVIDIA显卡保持这些映射关系私有，迫使研究人员开发新方法来识别易受攻击的内存位置。

厂商响应与缓解措施

在2025年1月15日收到负责任披露后，NVIDIA发布了全面安全公告承认该漏洞。公司强调，启用系统级ECC（错误校正码）可高效缓解攻击，但会带来约6.5%的内存开销和3-10%的性能影响。

NVIDIA的公告涵盖多代GPU架构，包括Blackwell、Ada、Hopper、Ampere、Jetson、Turing和Volta。公司强烈建议在专业级和数据中心产品上启用框架级ECC，并指出Hopper和Blackwell数据中心GPU已默认启用该功能。

对于新一代GPU，片上ECC（OD-ECC）献出了额外保护。这项科技在支持的设备（包括RTX 50系列消费级显卡和最新数据中心产品）上自动启用，内置抗Rowhammer攻击能力。

行业影响与安全启示

这项研究揭示了随着GPU在AI和高性能计算领域日益要紧而存在的关键安全缺口。鉴于NVIDIA占据约90%的GPU市场份额，该漏洞可能影响全球数百万体系。

研究时机尤其关键，因为云服务商正越来越多地提供GPU分时服务，创建了恶意攻击者可能针对其他用户AI模型或GPU内存中敏感数据的多租户环境。

虽然研究聚焦于A6000显卡，但类似漏洞可能存在于其他GPU架构和内存类型中。团队指出，配备HBM2e显存的A100显卡和RTX 3080设备在测试中未出现位翻转，但这可能源于不同阈值水平或增强的缓解措施而非天然免疫。

该研究强调了AI系统设计中硬件级安全考量的重要性，以及在GPU计算持续扩展至关键应用领域时制定稳健缓解策略的必要性。