多伦多大学的一组计算机科学家发现，一种针对图形处理器（GPU）的新型硬件攻击手段可能严重威胁当前人工智能模型的安全性。该研究揭示，原本针对中央处理器（CPU）内存的“行锤攻击”（Rowhammer）技术，同样可作用于配备GDDR6内存的GPU，而这类GPU是训练和运行AI模型的核心硬件。 研究人员指出，此类攻击可通过反复快速访问相邻内存行，引发电气干扰，导致未被直接访问的内存位发生翻转。在AI模型中，一个关键权重参数的指数位发生翻转，就可能导致模型准确率从80%骤降至0.1%，相当于“灾难性脑损伤”。这一问题可能对医疗影像分析、金融反欺诈等依赖AI的高风险应用造成严重后果。 该研究由计算机科学系助理教授古鲁拉吉·萨莱什瓦尔（Gururaj Saileshwar）带领，其团队成员包括博士生林少鹏（Chris Shaopeng Lin）和本科生乔伊斯·曲（Joyce Qu）。他们成功在NVIDIA RTX A6000 GPU上实现了一种名为GPUHammer的原型攻击，该GPU广泛用于高性能计算和云服务。由于GPU内存为焊死在主板上的GDDR6芯片，无法像CPU那样通过外部工具监控内存行为，研究团队只能通过观察最终的位翻转结果来推断攻击路径，过程极为困难，曾一度接近放弃。 为克服GPU内存刷新速度快、延迟高、并行性强等挑战，团队利用GPU的并行计算能力优化攻击模式，最终实现有效攻击。研究论文已被2025年USENIX安全研讨会录用。 研究指出，最大风险集中在云环境，因为多个用户共享同一GPU，攻击者可借此篡改他人数据处理过程。尽管NVIDIA已发布安全通告，建议启用错误校正码（ECC）功能以防御攻击，但研究人员发现，该措施会使机器学习任务性能下降高达10%，且未来更复杂的攻击可能突破ECC防护。 萨莱什瓦尔强调，GPU安全研究仍处于起步阶段，随着AI模型在医疗、金融、网络安全等关键领域广泛应用，必须提前发现并应对这类底层硬件漏洞，避免被恶意利用。