Pesquisadores da Universidade de Toronto revelaram uma vulnerabilidade sem precedentes em GPUs da Nvidia, marcando a primeira vez que um ataque do tipo Rowhammer, batizado de “GPUHammer”, foi demonstrado com sucesso em uma unidade de processamento gráfico. O experimento, realizado em uma Nvidia RTX A6000, amplamente utilizada em serviços de nuvem, foi detalhado em um artigo publicado em 10 de julho de 2025, e será apresentado na conferência USENIX Security 2025, em agosto. A técnica explora a memória GDDR6 da GPU, “martelando” repetidamente uma linha de células DRAM para provocar inversões de bits em linhas adjacentes, o que pode corromper dados e comprometer a integridade de sistemas, especialmente em aplicações de inteligência artificial (IA). Até então, ataques Rowhammer eram conhecidos apenas em memórias DDR de CPUs, tornando essa descoberta um marco na cibersegurança.
O ataque GPUHammer, descrito por Chris (Shaopeng) Lin, Joyce Qu e Gururaj Saileshwar, da Universidade de Toronto, foi capaz de induzir oito inversões de bits distintas em quatro bancos de memória DRAM da RTX A6000. Segundo o estudo, relatado pela Ars Technica em 16 de julho de 2025, uma única inversão de bit reduziu a precisão de um modelo de rede neural profunda (DNN) treinado no conjunto de dados ImageNet de 80% para 0,1%. “Essa é a primeira campanha sistemática de Rowhammer em GPUs da Nvidia”, afirmaram os pesquisadores, destacando que a vulnerabilidade afeta principalmente GPUs com memória GDDR6, como as da arquitetura Ampere, incluindo a RTX A6000, amplamente usada em computação de alto desempenho e IA.
O Rowhammer explora uma falha física em memórias DRAM, onde acessos repetidos a uma linha de memória geram interferência elétrica, causando inversões de bits em linhas vizinhas. Essa técnica, descoberta em 2014 por cientistas da Carnegie Mellon e Intel, era até então restrita a memórias DDR3 e DDR4 de CPUs. O GPUHammer adapta o ataque para GPUs, superando desafios como a maior latência e taxas de atualização mais rápidas da memória GDDR6, que inicialmente se acreditava ser imune. Os pesquisadores desenvolveram núcleos de “martelamento” paralelizantes que aproveitam a capacidade de processamento massivo das GPUs, alcançando cerca de 500 mil ativações por janela de atualização, conforme relatado pela Cybersecurity News em 13 de julho de 2025.
A vulnerabilidade é particularmente preocupante em ambientes de nuvem, onde GPUs como a RTX A6000 são compartilhadas entre múltiplos usuários. Um atacante malicioso poderia, teoricamente, usar o GPUHammer para corromper dados de outros clientes, comprometendo a integridade de modelos de IA usados em aplicações críticas, como direção autônoma e diagnósticos médicos. A The Hacker News, em 13 de julho de 2025, destacou que “a corrupção silenciosa de modelos de IA pode levar a erros não detectados, perda de confiança em sistemas automatizados e disrupções operacionais significativas”. No entanto, os pesquisadores enfatizam que o ataque é complexo, exigindo condições específicas, como acesso físico à memória e controle preciso das ativações, o que o torna difícil de executar em cenários reais.
A Nvidia respondeu rapidamente à descoberta, emitindo um comunicado em 9 de julho de 2025, recomendando a ativação do Código de Correção de Erros em Nível de Sistema (System-Level ECC) para mitigar o risco. A empresa confirmou que o ataque foi bem-sucedido apenas em GPUs sem ECC ativado. Para habilitar a proteção, os usuários podem usar o comando “nvidia-smi -e 1” e verificar o status com “nvidia-smi -q | grep ECC”. A BleepingComputer, em 12 de julho de 2025, relatou que GPUs mais recentes, como a H100 e RTX 5090, possuem ECC integrado (On-Die ECC), oferecendo proteção automática contra tais ataques. No entanto, ativar o ECC em GPUs como a RTX A6000 pode reduzir o desempenho em até 10% e a capacidade de memória em 6,25%, conforme apontado pelos pesquisadores.
Embora a Nvidia afirme que o ECC mitiga completamente o GPUHammer, os pesquisadores alertam que GPUs com memória GDDR6, como as da arquitetura Ampere, podem permanecer vulneráveis sem essa proteção. Além disso, a eficácia de mitigações como o Target Row Refresh (TRR) foi superada pelo ataque, que contornou essas defesas por meio de mapeamentos de memória proprietários da Nvidia, conforme descrito pela ChannelLife em 14 de julho de 2025. A empresa recomenda monitoramento contínuo de logs de erros para detectar tentativas de inversão de bits, especialmente em ambientes de alto risco, como data centers.
Nota de transparência: As informações sobre o ataque GPUHammer foram verificadas em relatórios da Universidade de Toronto, Ars Technica, The Hacker News, BleepingComputer e ChannelLife. A declaração da Nvidia foi confirmada em seu comunicado oficial de 9 de julho de 2025. A possibilidade de vulnerabilidades em outras GPUs GDDR6 é baseada em análises dos pesquisadores, mas não foi confirmada em testes além da RTX A6000.
O GPUHammer expõe uma nova fronteira em ataques de hardware, especialmente em sistemas de IA e computação em nuvem. Você acredita que as mitigações propostas são suficientes ou os riscos persistem? Deixe sua opinião nos comentários e junte-se ao debate!
Fontes: Universidade de Toronto, Ars Technica, The Hacker News, BleepingComputer, ChannelLife, Nvidia