Чтобы воспользоваться уязвимостью LeftoverLocals, злоумышленнику необходимо иметь доступ к операционной системе целевого устройства. В случае успеха хакер может извлечь данные из локальной памяти, выделенной графическому процессору, к которой у него не должно быть доступа.

Авторы исследования продемонстрировали, как работает эта атака: они запустили большую языковую модель LLaMA с 7 миллиардами параметров с использованием графического процессора AMD Radeon RX 7900 XT, задавали ИИ вопросы и «слушали» ответы. Полученные данные практически полностью соответствуют реальному отклику системы. Еще более тревожно то, что для атаки требуется менее десяти строк кода.

Компания Trail of Bits сообщила, что прошлым летом она протестировала 11 чипов от семи производителей графических процессоров в различных программных средах. Уязвимость LeftoverLocals была обнаружена в графических процессорах AMD, Apple и Qualcomm, но неизвестно, существует ли она для графических процессоров Nvidia, Intel или ARM.

Представитель Apple признал наличие проблемы и сообщил, что уязвимость была устранена для чипов M3 и A17, то есть более ранние модели по-прежнему уязвимы. Тем временем, как сообщается, Qualcomm занимается распространением обновлений безопасности среди своих клиентов. Что касается AMD, компания заявила, что в марте следующего года будет выпущено обновление программного обеспечения, которое «избирательно устранит» уязвимость LeftoverLocals. Google также сообщила, что выпустила обновление ChromeOS для устройств с чипами AMD и Qualcomm.

Однако Trail of Bits предупреждает, что конечные пользователи могут не иметь легкого доступа ко всем этим обновленным опциям программного обеспечения. Производители чипов выпускают новые версии прошивок, а производители ПК и комплектующих внедряют их в свои новейшие версии программного обеспечения, которые затем отправляются конечному владельцу устройства. При большом количестве участников мирового рынка координировать действия всех сторон непросто. Хотя для работы LeftoverLocals требуется определенный уровень доступа к целевому устройству, современные атаки выполняются по всей цепочке уязвимостей, что позволяет хакерам использовать ее, комбинируя методы.