LeftoverLocals の脆弱性を悪用するには、攻撃者はターゲット デバイスのオペレーティング システムにアクセスできる必要があります。成功すると、ハッカーは GPU に割り当てられた、アクセスできないはずのローカル メモリからデータを抽出できます。

研究の著者らは、この攻撃がどのように機能するかを実証しました。彼らは、AMD Radeon RX 7900 XT GPUを使用して70億のパラメータを持つ大規模な言語モデルLLaMAを起動し、AIに質問して、その答えを「聞き取り」ました。得られたデータは実際のシステム応答とほぼ完全に一致します。さらに心配なのは、この攻撃には 10 行未満のコードしか必要ないことです。

Trail of Bitsは、昨年の夏、さまざまなソフトウェア環境で7つのGPUメーカーの11個のチップをテストしたと述べた。 LeftoverLocals の脆弱性は AMD、Apple、Qualcomm GPU で発見されましたが、Nvidia、Intel、ARM GPU に存在するかどうかは不明です。

Appleの広報担当者はこの問題を認め、M3およびA17チップの脆弱性は修正されたが、以前のモデルは依然として脆弱であると述べた。一方、クアルコムは顧客にセキュリティアップデートを配布中であると報じられている。 AMDに関しては、LeftoverLocalsの脆弱性を「選択的に緩和する」ソフトウェアアップデートを来年3月にリリースする予定だと述べた。 Googleはまた、AMDおよびQualcommチップを搭載したデバイス向けにChromeOSアップデートをリリースしたと報告した。

しかし、Trail of Bits は、エンド ユーザーがこれらの更新されたソフトウェア オプションのすべてに簡単にアクセスできるとは限らないと警告しています。チップ製造業者は新しいファームウェア バージョンをリリースし、PC およびコンポーネント製造業者はそれを独自の最新ソフトウェア バージョンに実装して、デバイスの最終所有者に出荷します。世界市場には多数の参加者が存在するため、すべての関係者の行動を調整するのは容易ではありません。 LeftoverLocals が機能するにはターゲットデバイスへの一定レベルのアクセスが必要ですが、現代の攻撃は脆弱性チェーン全体にわたって実行されるため、ハッカーはさまざまな方法を組み合わせてこれを悪用することが可能です。