英偉達GPU被錘出2個新漏洞：顯存 bit flip 能直取系統

去年GPUHammer攻擊曝光時，RTX A6000的AI模型準確率能從80%暴跌到0.1%——當時多數人只把它當成AI可靠性問題。不到一年，同一批研究者把攻擊升級了：現在你的顯卡不僅能搞砸模型，還能直接幫你"越獄"整個系統。

兩個新漏洞GDDRHammer和GeForge已被公開在gddr.fail網站。它們的核心套路沒變——瘋狂訪問顯存特定行，用電信號干擾逼相鄰行的0變1或1變0。但目標換了：不再是搞亂AI推理結果，而是往CPU內存里塞惡意代碼，最終拿到root權限。

Rowhammer這玩意兒2014年就出現了，最初針對DDR3內存。原理像反復開關隔壁房間的燈，線路老化導致你家燈也跟著閃。閃錯一位，系統權限模型就裂條縫。過去十年它從DDR3蔓延到DDR4、DDR5甚至帶ECC糾錯的服務器內存，但GPU顯存（GDDR）一直被視為"免疫區"——畢竟架構不同、位寬更大、控制邏輯更封閉。

2024年底的GPUHammer首次打破這個幻覺。研究者用RTX A6000證明GDDR6同樣會 bit flip，但當時攻擊還停留在"讓AI變傻"的階段。現在GDDRHammer和GeForge把戰場擴大到系統層面：顯存里的漏洞可以穿透CPU的內存隔離，完成從"顯卡搗亂"到"全盤控制"的躍遷。

攻擊路徑：從顯存到CPU的"特洛伊木馬"

GDDRHammer和GeForge的實現細節尚未完全公開，但研究者透露了關鍵機制。兩者都利用GPU的直接內存訪問（DMA）能力——這是顯卡能高速讀寫系統內存的硬件特性，也是游戲加載、AI訓練不卡頓的基礎。

DMA本來有權限檢查，但Rowhammer制造的 bit flip 可以篡改頁表或權限標志位。換句話說，攻擊者先錘壞顯存里的某個關鍵數據結構，讓GPU誤以為"這塊系統內存歸我管"，隨后就能隨意讀寫內核空間。

GeForge的名字明顯在玩NVIDIA GeForce系列的梗，暗示消費級顯卡同樣中招。GDDRHammer則更直白：專攻GDDR顯存的Rowhammer變體。兩者共享相同的終極目標——通過GPU這個"外圍設備"攻破CPU的核心防線。

這種攻擊模型的陰險之處在于繞過傳統防御思路。企業安全團隊給服務器內存加ECC、給CPU打微碼補丁，但顯卡長期被當成" dumb peripheral "（啞設備）——能算就行，安全交給驅動。現在GPU成了特洛伊木馬，從城墻內部開門。

為什么現在才爆發？GDDR的物理特性埋雷

GDDR顯存比系統內存更密集、頻率更高，這本該是優勢。但高密度意味著存儲單元挨得更近，電磁干擾更容易串門；高頻率則讓"錘擊"節奏更快，bit flip 成功率上升。GPUHammer論文里提到，RTX A6000的GDDR6在特定訪問模式下，幾秒內就能誘導可復現的位翻轉。

另一個因素是GPU的共享內存架構。現代顯卡把顯存劃給多個計算單元、多個用戶進程甚至多個虛擬機（比如數據中心的vGPU場景）。一個租戶"錘"自己的顯存分區，可能影響到隔壁租戶的數據——這種跨邊界攻擊在云環境里尤其致命。

NVIDIA的應對策略目前集中在軟件層。驅動程序可以檢測異常訪問模式，比如某段代碼在短時間內瘋狂讀寫相鄰顯存行，就觸發警報或降速。但硬件層面的根本修復需要下一代GDDR標準，可能涉及更寬的行間距、更強的片上糾錯，或者像DDR5那樣引入片上ECC。

代價是成本和功耗。數據中心GPU的顯存帶寬動輒每秒數TB，任何額外的校驗邏輯都會變成性能稅。消費級顯卡更敏感——玩家為幾幀差距就能吵翻天，安全補丁如果讓游戲掉幀，評論區必然翻車。

影響范圍：從AI訓練到云游戲的連鎖反應

最直接的風險場景是共享GPU環境。云廠商的AI算力租賃、區塊鏈節點的遠程托管、甚至某些云游戲服務，都可能成為攻擊跳板。攻擊者租一臺帶高端顯卡的虛擬機，用GDDRHammer錘穿宿主機，進而窺探其他租戶的數據。

本地用戶也并非高枕無憂。惡意網頁可以通過WebGPU接口（瀏覽器直接調用顯卡的標準）發起攻擊，雖然沙箱機制會限制權限，但Rowhammer的底層物理特性可能繞過這些軟件邊界。研究者尚未公布完整利用鏈，但攻擊面已經打開。

游戲玩家面臨的威脅更隱蔽。現代反作弊系統深度依賴GPU——比如內核級驅動監控顯存里的渲染數據，檢測透視掛或自瞄。如果攻擊者能 bit flip 篡改這些監控數據，反作弊就成了擺設。反過來，作弊開發者也可能用類似技術隱藏自己。

AI行業同樣被波及。大模型訓練動輒占用數十GB顯存，權重參數和優化器狀態都住在GDDR里。GPUHammer已經證明單 bit flip 能讓準確率崩盤，現在GeForge又加了"植入后門"的可能性——訓練好的模型可能被動過手腳，特定輸入觸發特定行為，而檢測成本極高。

目前尚無證據表明這些漏洞已被野外利用。但gddr.fail網站的上線本身是個信號：研究者選擇公開而非私下通報，通常意味著廠商響應速度未達預期，或者修復需要硬件迭代、短期內無解。

NVIDIA的公開表態尚未出現在報道中。按照慣例，芯片廠商會在CVE（通用漏洞披露）流程里評估影響范圍，再決定是發驅動補丁還是建議用戶升級硬件。GDDR6X和GDDR7的物理設計是否已考慮Rowhammer抗性，是下一個值得盯緊的技術細節。

2014年Rowhammer剛曝光時，業界普遍認為這是實驗室玩具——條件苛刻、難以復現。十年后它成了標準攻擊向量，從瀏覽器到手機到顯卡無一幸免。GDDRHammer和GeForge的出現，不過是這個劇本的最新章節。

你的顯卡現在同時是算力引擎和安全漏洞。下次更新驅動時，補丁說明里如果提到"顯存訪問模式優化"或"DMA權限強化"，別跳過——那可能是防御Rowhammer的前線工事。

最后一個問題留給硬件架構師：當GPU和CPU的內存邊界徹底模糊（比如AMD的APU統一內存、Intel的Arc獨顯共享頁表），Rowhammer的攻擊面是變大了，還是終于能被統一防御了？