Apple・Qualcomm・AMDのGPUからAIとの会話が漏洩する不具合「LeftoverLocals」が発見される

セキュリティ会社のTrail of Bitsが、Apple・Qualcomm・AMDのGPU上のプロセスによって作成されたGPUメモリからデータを復元することを可能にする脆弱(ぜいじゃく)性「LeftoverLocals(CVE-2023-4969)」についての調査結果を公表しました。
LeftoverLocals
https://leftoverlocals.com/
New Flaw in Apple, AMD, and Qualcomm GPUs Could Expose AI Data - Cyber Kendra
https://www.cyberkendra.com/2024/01/LeftoverLocals-flaws-leak-ai-data-via-gpu.html
A Flaw in Millions of Apple, AMD, and Qualcomm GPUs Could Expose AI Data | WIRED
https://www.wired.com/story/leftoverlocals-gpu-vulnerability-generative-ai/
LeftoverLocalsは、GPUを使用するアプリケーションがローカルメモリにある別のデータにアクセスすることが可能になってしまう脆弱性です。GPUには、よく使われるデータを一時的に保存しておく高速なメモリ領域であるローカルメモリがありますが、LeftoverLocalsの脆弱性があるGPUではローカルメモリが適切にクリアされないため、悪意のあるアプリケーションを使って他のアプリケーションが使用したローカルメモリのデータを盗み出すことができます。

LeftoverLocalsを使うと、画像処理や描画など、GPUのローカルメモリを使うアプリケーションなら何でも攻撃対象とすることができますが、特に懸念されているのが大規模言語モデル(LLM)からのデータの流出です。
LeftoverLocalsを悪用しようとする攻撃者は、まずローカルメモリのデータを繰り返し読み取ってLLMの実行データから重み付けやアクティベーションに関するデータを盗み出し、使用中のLLMを特定します。
次に、攻撃者はモデルの出力レイヤーからデータを盗み、ローカルメモリに格納される入力を抜き出すことで出力を再現して、LLMの受け答えを復元します。

Trail of Bitsは、概念実証により高い精度でLLMの出力を再構築できることを示しました。具体的には、AMDのGPUであるRadeon RX 7900 XTで実行したLLMから、パラメーター数が7B(70億パラメータ)のモデルの応答を完全に再現するのに十分な181MBのデータを盗むことができたとのこと。
NVIDIAやIntel、ArmのGPUにはLeftoverLocalsの脆弱性が見つかりませんでしたが、AppleやQualcomm、AMDの製品にはこの脆弱性が含まれていたとTrail of Bitsは報告しています。これは、前述のRadeon RX 7900 XTのようなゲーマーにも人気なGPUや、iPhoneやMacBookといったApple製デバイスなどが攻撃対象となり得るということを意味しています。
Trail of Bitsのエンジニアリング・ディレクターであるHeidy Khlaaf氏は、「これらのGPUの安全性が低く、かなりの量のデータが漏えいするという、より広範なセキュリティ上の懸念があります」と話しました。

2023年9月にこの脆弱性を発見して以来、Trail of Bitsはセキュリティ機関を通じて複数のGPUメーカーに脆弱性に関する情報提供を行いました。各社のLeftoverLocalsへの対応状況は次の通りです。
Appleの広報担当者は、2023年末に発表したM3プロセッサーとA17プロセッサーで修正プログラムを適用したと述べました。ただし、前世代のApple製チップを搭載しているiPhoneやiPad、MacBookにはこの脆弱性が残っており、Trail of Bitsは2024年1月10のテストでA12搭載の第3世代iPad Airでは修正パッチが適用されていたものの、M2搭載のMacBook Airは依然としてLeftoverLocalsの影響を受けることを確認しています。
Qualcommは、顧客にセキュリティアップデートを提供している最中だとしており、声明の中で「エンドユーザーにはデバイスメーカーからセキュリティアップデートが提供され次第適用することを推奨します」と述べました。Trail of Bitsは、実際にQualcommがこの脆弱性に対するファームウェア修正パッチをリリースしたことを確認しました。
Googleは、この脆弱性を認識していると述べて、AMDやQualcomm製のGPUを搭載したChromeOSデバイス向けの修正プログラムをリリースしていることを明かしました。
主要なGPUメーカーは対応を進めていますが、脆弱なGPUが数多く残っているため、Trail of BitsはGPU業界全体でより強力な仕様の策定やテストの実施、監査体制の構築などが必要であると提言しています。