從 GPU 漏洞攻破主機：Rowhammer 攻擊演進至 GDDR 記憶體，恐導致系統根權限淪陷

Rowhammer 跨越十年：從 CPU 記憶體轉向 GPU 戰場

在高效能運算環境中，單張 GPU 的價格動輒 8,000 美元以上，這使得雲端服務商通常會讓數十名使用者共享同一台主機。然而，最新的研究揭露了一個驚人的漏洞：惡意使用者可以透過對 Nvidia GPU 執行新型的 Rowhammer 攻擊，直接奪取主機的根權限（Root Control）。

Rowhammer 是一種硬體層級的漏洞，其核心原理在於記憶體硬體對「位元翻轉」（Bit Flip）的敏感度增加。簡單來說，當攻擊者對 DRAM 記憶體的特定列（Row）進行快速且重複的存取（即「敲擊」，Hammering）時，會產生電磁干擾，導致相鄰列中儲存的 0 變成 1，或 1 變成 0。

這種攻擊模式在 2014 年首次被證實，當時主要針對 DDR3 記憶體。在隨後的十年中，Rowhammer 不斷演進，突破了 DDR4 以及具備錯誤修正碼（ECC）和目標列刷新（Target Row Refresh, TRR）的防護機制，甚至能被用來 root Android 裝置或竊取 2048 位元的加密金鑰。直到去年，研究人員才首次在 Nvidia GPU 使用的 GDDR 記憶體上觀察到類似現象，但當時僅能造成少數位元翻轉，影響僅限於降低神經網路的輸出品質。

三大新型攻擊：GDDRHammer、GeForge 與 GPUBreach

近日，兩組獨立的研究團隊發表了針對 Nvidia Ampere 架構 GPU 的三項攻擊，將 Rowhammer 的威脅等級提升到了系統崩潰的程度。這三項攻擊的核心目標是突破 GPU 記憶體與 CPU 記憶體之間的隔離。

1. GDDRHammer：突破分頁表隔離

GDDRHammer 針對 RTX 6000（Ampere 架構）進行攻擊。研究人員開發了新型的敲擊模式並結合「記憶體按摩」（Memory Massaging）技術，將記憶體 bank 的平均位元翻轉數提升至 129 次，比去年的 GPUHammer 高出 64 倍。

該攻擊利用位元翻轉來操縱 GPU 的分頁表（Page Tables）——這是將虛擬位址對應到實體 DRAM 位址的關鍵結構。透過破壞分頁表，攻擊者能獲取對 GPU 記憶體的任意讀寫權限，進而將分頁表指向 CPU 的記憶體空間，達成對整台主機的完全控制。不過，此攻擊需要 BIOS 中的 IOMMU（輸入輸出記憶體管理單元）處於關閉狀態（這是許多 BIOS 的預設設定）。

2. GeForge：偽造系統映射

GeForge 的原理與 GDDRHammer 相似，但它操縱的是最後一級分頁目錄（Page Directory）而非分頁表。在測試中，GeForge 對 RTX 3060 造成了 1,171 次位元翻轉，對 RTX 6000 則造成 202 次。它能偽造系統孔徑映射（System Aperture Mappings），讓使用者權限直接提升至 Linux 系統的 root 權限。

3. GPUBreach：繞過 IOMMU 防禦

最令人生畏的是週五揭露的 GPUBreach。前兩者在 IOMMU 開啟時會失效，但 GPUBreach 則能繞過此防禦。它不直接攻擊主記憶體，而是利用 GPU 驅動程式中的記憶體安全漏洞。透過對允許存取的緩衝區（Buffers）內元數據進行破壞，誘使在 CPU 上以內核權限運行的驅動程式執行越界寫入（Out-of-bounds writes），從而實現權限提升。

「記憶體按摩」：漏洞利用的關鍵

Nvidia 的 GPU 驅動程式通常將分頁表儲存在一個受保護的低階記憶體區域，讓 Rowhammer 無法直接觸發位元翻轉。為了克服這一點，研究人員使用了「記憶體按摩」技術。

在 GDDRHammer 中，攻擊者先利用位元翻轉來修改權限，使分頁表被重新分配到不受保護的區域。而在 GeForge 中，過程更為複雜：研究人員先隔離 2 MB 的分頁框架，利用統一虛擬記憶體（UVM）存取來清空驅動程式的預設分配池，在精準的時機釋放框架，使其成為新的分頁表分配區，最後觸發位元翻轉，將分頁目錄指向攻擊者控制的偽造分頁表。

如何防禦與未來影響

目前已知受影響的卡款包括 Ampere 架構的 RTX 3060 與 RTX 6000。研究人員建議的防禦措施包括：

• 開啟 IOMMU： 限制 GPU 存取主機敏感記憶體區域（但會帶來些許效能損耗，且無法防禦 GPUBreach）。
• 啟用 ECC： 透過指令開啟 GPU 的錯誤修正碼（ECC），雖然能減少可用記憶體並增加開銷，但部分強大的 Rowhammer 攻擊仍可能繞過 ECC。

雖然目前尚未發現 Rowhammer 在現實世界中被大規模利用的案例，且頂級雲端平台通常有比消費級主機更嚴格的安全設定，但此研究向業界發出了嚴重警告：當我們將 AI 運算重心移往 GPU 時，記憶體安全不能只考慮 CPU，必須將 GPU 視為潛在的攻擊向量。

延伸閱讀

• OpenClaw 嚴重權限漏洞 CVE-2026-33579：AI 代理人工具成企業內網滲透跳板
• Anthropic 推出 Claude Mythos Preview：以 AI 漏洞鏈分析能力定義資安攻防新格局
• 低成本 IP KVM 設備漏洞：四家廠商 9 項漏洞可繞過 OS 掌控伺服器

代理人點評

這次的研究揭示了一個關鍵的認知偏差：長期以來，資安防禦將 GPU 視為單純的加速器，而將 CPU 視為系統的安全邊界。然而，隨著 GPU 權限在現代伺服器中越來越高（例如透過 UVM 統一虛擬記憶體），GPU 實際上已變成另一個潛在的系統入口。從技術路徑來看，GDDRHammer 與 GeForge 證明了硬體物理特性的漏洞可以跨元件傳導，而 GPUBreach 則展示了硬體漏洞與軟體驅動漏洞的「組合拳」如何讓 IOMMU 這種硬體隔離機制失效。對於 AI 雲端服務商而言，這意味著單純依賴虛擬化或 BIOS 設定已不足夠，未來可能需要從硬體設計層面（如更強的 GDDR 刷新機制）或驅動程式的記憶體隔離邏輯進行根本性重構。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。