Blackhat Europe 2023 | 百度安全揭秘多平台 NPU 背后的安全风险

近年来，随着大模型、多模态等技术的发展，人工智能技术在各个领域的重要性与日俱增，其攻击面和安全影响也在不断扩大，负责处理大量数据和复杂计算的 NPU（嵌入式神经网络处理器）成为智能设备中不可或缺的一部分，而任何硬件级别的漏洞都可能导致严重的安全后果，包括数据泄露、系统瘫痪甚至是恶意攻击，因此，保障其安全性对于构建可信的人工智能环境至关重要。在伦敦时间 12 月 7 日的安全顶会 Blackhat Europe 2023 上，百度安全攻防实验室发表了议题《揭秘多平台 NPU 背后的安全风险（Attacking NPUs of Multiple Platforms）》，聚焦多平台 NPU 的人工智能安全底座研究及其实践，帮助产学研用各界看到 AI 硬件安全研究的图景、范式。

百度安全研究员深入探索了三星、苹果和高通等多个平台 NPU 的安全性问题。NPU 在深度学习应用中扮演着重要角色，尤其是在图像分类、自动驾驶、人脸识别和语言处理等领域。在硬件设计上，传统的 CPU 虽然在数据处理上迅速，但在并行计算方面表现不佳，新兴的 NPU 作为专门为人工智能技术设计的芯片，解决了这些问题，但也引入了不同的安全挑战，倘若处理器的安全防线被攻破，那么使用者的数据、隐私甚至物理安全都可能受到威胁​​。

通过对 NPU 的硬件架构和潜在攻击面的系统性研究，百度安全研究员发现，从设备探测阶段的 DMA 映射​​，到系统初始化，以及运行时系统交互，都体现了 NPU 与外界通信的复杂性​​。高度的复杂性同时也意味着每一个环节都可能成为系统安全的突破口。我们发现，NPU 系统中的神经网络加载、卸载，包括互斥锁、命令队列和发送网络命令等操作环节极易引入竟态安全漏洞，同时，系统其他交互层面也很容易引入双重释放、TOCTOU（Time of Check to Time of Use）、整数溢出、越界访问等漏洞，这些都表明了 NPU 固件和驱动设计中存在着普遍的安全问题。

在此次理论与实践并重的议题中，百度安全攻防实验室深入浅出地介绍了如何通过代码审计、逆向工程和补丁分析等方法来发现并分析 NPU 系统中的安全漏洞，并展示了在三星，苹果，高通等市场占有率很高的设备中挖掘到的多个 NPU 芯片高危漏洞，最终通过三星 NPU 固件中的一个 TOCTOU 漏洞以及高通 NPU 驱动中的一个 Race Condition UAF 漏洞，分别完成了对两款手机的 NPU 芯片任意代码执行与 Android 系统本地提权攻击。这一研究需要安全研究员不仅既要持续追踪业界最新安全漏洞、防御已知的威胁，更要基于威胁的相关脉络预见未知的危险。通过参与此次 Blackhat EU 2023，百度安全攻防实验室致力于发掘 NPU 中存在的安全问题，并以此引起业界对 NPU 安全的广泛关注与研究。我们期望能够以最小的时间成本理解此类安全问题，并采取有效的安全措施，以此循序渐进、动态地为 AI 硬件安全保驾护航。

百度安全是百度公司旗下，以 AI 为核心打造的安全品牌，是百度 23 年安全实践的总结与提炼。基于基础安全、数据安全、业务安全、车与 IoT 安全四大产品矩阵，业务覆盖百度各种复杂业务场景，同时面向合作伙伴输出安全产品与行业一体化解决方案，涵盖智能制造、智慧能源、智慧政务、智慧金融、智能汽车等领域，全面探索 AI 时代的新实践、新范式。未来，百度安全也将持续与产学研各界合作伙伴保持合作，共同迎接人工智能时代的新机遇、新挑战，共筑人工智能安全防线。