GPUHammer ช่องโหว่ใหม่ที่เล่นงานให้ AI “คิดผิด” ได้โดยไม่ต้องแฮกระบบ — เตือนผู้ดูแลโครงสร้างพื้นฐานเร่งป้องกัน

ในยุคที่ AI เข้ามามีบทบาทในแทบทุกมิติของชีวิต ตั้งแต่ระบบแนะนำสินค้า การจดจำใบหน้า ไปจนถึงการแพทย์และยานยนต์ไร้คนขับ ความถูกต้องของโมเดล AI จึงเป็นเรื่องสำคัญอย่างยิ่ง ล่าสุดมีงานวิจัยที่น่ากังวลจากมหาวิทยาลัยโตรอนโต เปิดเผยการโจมตีรูปแบบใหม่ชื่อว่า “GPUHammer” ซึ่งสามารถทำให้โมเดล AI ที่แม่นยำ กลายเป็นระบบที่ “เพี้ยนจนใช้งานไม่ได้” ภายในเวลาไม่กี่วินาที — โดยที่ไม่ต้องแฮกระบบหรือข้ามสิทธิ์การเข้าถึงแต่อย่างใด

GPUHammer เป็นเทคนิคที่พัฒนาต่อยอดจากการโจมตีแบบ RowHammer ที่เคยถูกใช้โจมตีหน่วยความจำหลักของคอมพิวเตอร์มาก่อน RowHammer คือการอาศัยจุดอ่อนของหน่วยความจำ DRAM ที่เกิดจากการ “อ่านหรือเขียนข้อมูลซ้ำ ๆ” บนแถวของเซลล์หน่วยความจำจนเกิดสัญญาณรบกวน (electrical interference) ไปยังแถวที่อยู่ติดกัน ส่งผลให้ข้อมูลของเซลล์ข้างเคียงพลิกจาก 0 เป็น 1 หรือในทางกลับกันได้โดยไม่ได้รับอนุญาต นี่คือสิ่งที่เรียกว่า “bit flip” ซึ่งแม้จะเกิดเพียงเล็กน้อย แต่ก็สามารถนำไปสู่ช่องโหว่ระดับล่างที่ร้ายแรง เช่น การยกระดับสิทธิ์ หรือการเจาะระบบได้

GPUHammer นำแนวคิดนี้มาใช้กับการ์ดจอ โดยเฉพาะ GPU ที่ใช้หน่วยความจำ GDDR6 ซึ่งเป็นหน่วยความจำความเร็วสูงที่ใช้งานอยู่ในเซิร์ฟเวอร์ AI และเวิร์กสเตชันขั้นสูง โดยงานวิจัยสามารถแสดงให้เห็นว่า หากผู้ไม่หวังดีสามารถรันโค้ดบางชนิดบน GPU เดียวกันกับผู้ใช้เป้าหมาย (เช่น ในระบบคลาวด์ที่มีการแบ่งใช้ GPU หรือ virtual GPU ร่วมกัน) ก็สามารถทำให้เกิด bit flip ในหน่วยความจำของการ์ดจอได้จริง

และหากบิตที่พลิกนั้นเกิดขึ้นในบริเวณที่เก็บข้อมูลของโมเดล AI ก็จะส่งผลโดยตรงต่อผลลัพธ์ที่โมเดลตอบกลับมา เช่น ความแม่นยำของระบบจำแนกภาพลดลงจาก 80% เหลือไม่ถึง 1% ซึ่งในบางกรณีโมเดลจะให้คำตอบผิดแทบทั้งหมด ทำให้ AI เสียความน่าเชื่อถือทันที โดยที่ไม่มีใครรู้ว่าเกิดอะไรขึ้น เพราะระบบยังดูเหมือนทำงานปกติ

ความน่ากลัวของ GPUHammer คือไม่จำเป็นต้องมีการแฮกหรือเจาะระบบแบบดั้งเดิม ผู้โจมตีเพียงแค่เช่าพื้นที่บนคลาวด์ที่ใช้ GPU ร่วมกันกับเหยื่อ แล้วรันโค้ดโจมตีที่ออกแบบมาให้เข้าถึงพฤติกรรมภายในของหน่วยความจำ GDDR6 เพื่อสร้างการสั่นสะเทือนระดับไฟฟ้าในระดับที่ทำให้บิตพลิกได้จริง จากนั้นจึงใช้ช่องโหว่นี้ในการรบกวนโมเดล AI เป้าหมาย ซึ่งอยู่ใน GPU เดียวกันแต่แยกกันในระดับซอฟต์แวร์

แม้การโจมตีจะต้องอาศัยความรู้ทางเทคนิคเฉพาะทาง และการควบคุมโค้ดระดับต่ำ แต่ทีมวิจัยได้เผยแพร่งานวิจัยพร้อมหลักฐานเชิงเทคนิคที่แสดงให้เห็นว่าแนวทางนี้สามารถทำได้จริง โดยอาศัยโครงสร้างการแมปหน่วยความจำและช่องโหว่ของการ์ดจอระดับสูงของ NVIDIA อย่างรุ่น RTX A6000 ที่ใช้กันอย่างแพร่หลายในงานด้าน AI และ deep learning

แนวทางป้องกันและคำแนะนำ

NVIDIA เองก็รับทราบถึงปัญหาดังกล่าว และแจ้งเตือนให้ ผู้ดูแลระบบทุกคนเปิดใช้งานฟีเจอร์ ECC (Error Correction Code) บน GPU ทันที โดย ECC จะช่วยตรวจจับและแก้ไข bit flip โดยอัตโนมัติ ซึ่งจะป้องกันไม่ให้โมเดล AI เสียหายจากการโจมตีในลักษณะนี้ คำแนะนำรวมถึงการใช้คำสั่ง nvidia-smi -e 1 เพื่อเปิดใช้งาน ECC และตรวจสอบ log อย่างสม่ำเสมอ เช่น dmesg หรือ syslog เพื่อหาสัญญาณของความผิดปกติ นอกจากนี้ยังมีการแนะนำให้หลีกเลี่ยงการแชร์ GPU กับผู้ใช้นอกองค์กร

หากเป็นไปได้ควรอัปเกรดไปใช้ GPU รุ่นใหม่อย่าง NVIDIA H100 ซึ่งมีระบบ On‑die ECC ป้องกันในตัว

สำหรับผู้ใช้งานทั่วไปที่ใช้บริการอย่าง ChatGPT หรือ AI บนแอปพลิเคชัน — ไม่มีความเสี่ยงในลักษณะนี้ เนื่องจากผู้ใช้ทั่วไปไม่สามารถเข้าถึงหรือรันโค้ดใน GPU ได้โดยตรง GPUHammer จึงเป็นภัยที่พุ่งเป้าไปที่ผู้ดูแลโครงสร้างพื้นฐานของ AI เช่น ทีม DevOps, ทีม Data Engineer และผู้ให้บริการ AI-as-a-Service ที่ใช้ GPU แบบแชร์ในคลาวด์เป็นหลัก

เป้าหมายการโจมตี

อย่างไรก็ตามคนที่คิดจะโจมตีด้วยเทคนิค GPUHammer นี้ อาจเป็นได้หลายกลุ่ม เช่น แฮกเกอร์กลุ่มอาชญากรไซเบอร์ (Cybercriminals) — ต้องการสร้างความเสียหาย หรือโจมตีระบบ AI เพื่อผลประโยชน์ เช่น ทำให้โมเดล AI ของคู่แข่งพัง หรือบีบบังคับเรียกค่าไถ่ หรือ แฮกเกอร์ที่มีแรงจูงใจทางการเมือง ที่ต้องการโจมตีระบบ AI ที่ใช้ในภาครัฐหรือองค์กรใหญ่ เพื่อวัตถุประสงค์ทางการเมือง หรือทำลายความน่าเชื่อถือของระบบเป็นต้น

GPUHammer คือภัยไซเบอร์รูปแบบใหม่ที่ใช้ช่องโหว่ระดับฮาร์ดแวร์บน GPU เพื่อทำให้โมเดล AI ทำงานผิดพลาดโดยที่ไม่มีใครรู้ตัว เป็นการเตือนให้ผู้ดูแลระบบ AI ต้องให้ความสำคัญกับการป้องกันระดับฮาร์ดแวร์ ไม่ใช่แค่ซอฟต์แวร์หรือโมเดลเท่านั้น เพื่อรักษาความแม่นยำและความน่าเชื่อถือของ AI ที่เราใช้งานกันทุกวัน