37个回答

国家网信办就 H20 算力芯片漏洞后门安全风险约谈英伟达公司,该漏洞会有哪些风险?

中国网
85个点赞 👍

先说一下最有可能的实现方式。

想要实现定位,至少要先有能力通信,英伟达的官方驱动程序在Linux下一直都是编译好的二进制文件,不提供源码,其二进制驱动里就有能力隐藏功能。通过二进制驱动与GPU核心的绑定,可以识别出当前的GPU是谁,即获取ID。通信过程可以把GPU的ID信息发送给服务器。同时通信过程可以通过请求的时延和网络路径获得GPU所在位置的物理信息。

对网络比较熟悉的同学应该知道traceroute程序,这个程序就能把一次网络通信所经过的所有路由器都列出来,其中绝大部分路由器是公网路由器,通过公网路由器的IP地址查询IP与地理地址的映射表就能获得一次网络通信经过的所有地理位置,自然也包括GPU所在的源头位置。

除了traceroute以外,可以通过请求多个服务器的时延来反推GPU所在源头的地理位置。该方法可以不依赖IP与地理地址映射表。一次网络通信,每个路由器的平均时延,和两个路由器之间的通信时延是可以预测的,这样就能获得粗略的源头位置。


总之,只要能上网,想要获得GPU所在的地理位置是不难的,方法有多种。但比较严肃的计算集群是不允许服务器上网的。服务器只能访问内网的必要信息,任何意料意外的访问都被禁止,通过防火墙是比较容易实现的。

至于服务器安装软件,apt/pip/yum之类的源,往往机房内都会有专用的镜像服务器。只要设置到这里安装即可,根本不需要公网。

以往对外服务的服务器,往往是由前端的负载均衡,把已知的服务端口,映射给服务器,服务器才能提供针对该端口的服务,其他端口自然是不能被访问的。而对AI算力中心,连这些需求都没有,可以说GPU算力服务器在严肃的机房是没有上网机会的。

但我如上用"严肃的机房"一词,就是以为因为还是有很多机房是不够严肃的。比如很多中小规模的GPU云,其服务器就是可以上网的。一些中小公司的自建算力集群,也往往对安全重视程度不足,图方便而允许服务器上网,这些都会导致其GPU驱动是可以给英伟达的服务器发送数据并进行定位的。


以前大家信任你的二进制驱动,而没有多做防范,现在美国的议员既然开始呼吁要这么干了。大家也就必须认真防范起来了。现实中的危险不仅限于GPU有被远程锁定的风险,那一大坨二进制驱动可以说什么都可以干。毕竟二进制驱动是内核态的,权限是整个服务器最高的一级。随便列几个风险就足够恐怖了:

  1. 将用户的训练数据传递给美国,导致用户隐私数据泄漏
  2. 将服务器的私钥传递给美国,导致服务器被入侵的可能
  3. 将服务器的shell给远程挂到美国服务器,使得美国可以直接登录到你的服务器,这个过程甚至不需要任何密码验证
  4. 通过刷新BIOSCPU microcode硬盘固件等,不仅仅干掉你的GPU,还可以干掉你服务器上的其他硬件


有些风险,以前大家捏着鼻子忍了,现在既然美国议员把这事给上称了,可就不是四两了。

现在的问题已经不是英伟达发表个声明就能混过去的,而是必须有明确的证据,用白名单的方式来证明其没有恶意。下一步大概率包括中国在内的多个国家,会要求英伟达要么提供开源驱动,要么是像Windows一样,确保英伟达的二进制驱动在中国政府监督下进行代码审核和编译。


类似的破事以前出现过。1999年,Intel就想要在CPU里内置个唯一的ID叫PSN=Processor Serial Number。当时,Intel在其Pentium III处理器中加入了这一特性,旨在为电子商务和内容保护提供一种硬件级别的身份验证机制。每个Pentium III处理器都有一个独一无二的序列号,理论上可以用于识别计算机用户以增强在线交易的安全性和数字版权管理。

然而,这个功能很快引起了隐私权倡导者、政府机构以及一些国家的担忧,他们担心这种唯一ID可能被用来追踪用户的在线活动,从而侵犯个人隐私或成为潜在的安全风险。在中国,由于对信息安全的高度关注,尤其是对于关键信息基础设施的安全性,对此类技术的应用尤为谨慎。

最终在包括中国在内的多个国家明确拒绝的情况下,Intel将该功能默认关闭,并在一年后干脆取消了该功能。

美国的公司,无论基于什么理由,想要在硬件层面跟踪用户,都是极其恶劣的。这种行为任何国家都不会接受。

还没有人送礼物,鼓励一下作者吧
gashero
自由评论 (0)
分享
Copyright © 2022 GreatFire.org