Ein Team von Informatikwissenschaftlern der Universität Toronto hat eine neue Hardware-Schwachstelle in Grafikprozessoren (GPUs) entdeckt, die potenziell kritische Auswirkungen auf künstliche Intelligenz (KI)-Modelle haben könnte. Die Forscher fanden heraus, dass ein bereits bekannter Angriffstyp, der Rowhammer-Angriff, auch gegen GPUs mit GDDR6-Speicher effektiv ist – einem Speichertyp, der für hohe Datenübertragungsraten optimiert ist und in modernen Grafikkarten wie der NVIDIA RTX A6000 verwendet wird. Ursprünglich war Rowhammer bekannt als Bedrohung für die Arbeitsspeicher von zentralen Prozessoren (CPUs), bei dem durch wiederholtes Zugreifen auf benachbarte Speicherzeilen elektrische Störungen entstehen, die zu unerwarteten Bit-Flips führen können. Diese Störungen ermöglichen es Angreifern, Daten zu manipulieren oder Sicherheitsmechanismen zu umgehen. Die Forscher um Assistant Professor Gururaj Saileshwar, der an der Fakultät für Geistes- und Naturwissenschaften sowie an der Fakultät für angewandte Wissenschaft und Ingenieurwesen der Universität Toronto tätig ist, entwickelten einen Proof-of-Concept-Angriff namens GPUHammer. In Experimenten mit der NVIDIA RTX A6000 konnten sie durch einen einzigen Bit-Flip im Exponenten eines KI-Modells die Genauigkeit von 80 % auf nur noch 0,1 % reduzieren – eine katastrophale Degradation, die in kritischen Anwendungen wie medizinischer Bildanalyse oder Betrugserkennung gravierende Folgen haben könnte. Besonders gefährdet sind Cloud-Umgebungen, in denen mehrere Benutzer denselben GPU-Server nutzen, was es einem Angreifer ermöglicht, die Daten eines anderen zu manipulieren. Die Herausforderung lag darin, dass GPUs anders aufgebaut sind als CPUs: Ihre Speicher sind direkt auf die Platine gelötet, wodurch direkte Inspektionen des Speicherzugriffs unmöglich sind. Zudem arbeiten GPUs mit schnelleren Refresh-Raten und höherer Parallelität. Die Forscher nutzten diese Parallelität, um optimierte Hammering-Muster zu entwickeln, die trotz der technischen Hürden erfolgreich Bit-Flips auslösten – nach zahlreichen Fehlversuchen, wie Saileshwar mit dem Vergleich „Hammern im Dunkeln“ beschreibt. Die Ergebnisse wurden auf der USENIX Security Symposium 2025 präsentiert. NVIDIA wurde frühzeitig über die Entdeckung informiert und veröffentlichte im Juli eine Sicherheitswarnung. Als Gegenmaßnahme empfiehlt das Unternehmen die Aktivierung von Fehlerkorrekturcodes (ECC), die jedoch die Leistung von maschinellen Lernaufgaben um bis zu 10 % verlangsamen. Zudem warnten die Forscher, dass zukünftige Angriffe mit mehreren Bit-Flips möglicherweise auch ECC-Systeme überfordern könnten. Die Entdeckung unterstreicht, dass die Sicherheit von GPUs – bisher oft vernachlässigt – nun dringend mehr Aufmerksamkeit erfordert. „Wir betreiben zunehmend wertvolle, lebenswichtige Workloads auf GPUs. Wenn es hardwarebasierte Schwachstellen gibt, die unbemerkt manipuliert werden können, müssen wir sie finden, bevor sie ausgenutzt werden“, betont Saileshwar. Die Arbeit markiert einen wichtigen Schritt in der Erkennung von Hardware-Attacken im KI-Zeitalter. Die Forschung zeigt, dass Sicherheit nicht mehr nur auf Softwareebene zu betrachten ist, sondern zunehmend physikalische Eigenschaften von Hardware berücksichtigen muss. Für Unternehmen, die KI-Infrastrukturen in der Cloud betreiben, wird dies zu einer entscheidenden Überlegung. Die Entwicklung von robusten, hardwareunterstützten Schutzmechanismen wird künftig eine Schlüsselrolle spielen.