Ryzen AI на AMD под лупа заради рискови уязвимости

Неумолимият напредък на изкуствения интелект подтикна производителите на хардуер да вграждат специализирани възможности за обработка директно в своите чипове. Advanced Micro Devices (AMD), основен играч в полупроводниковата индустрия, възприе тази тенденция, оборудвайки по-новите си поколения процесори със специализирани AI ускорители, предлагани под марката ‘Ryzen AI’. Тези Neural Processing Units (NPUs) обещават значително да повишат производителността при задачи, управлявани от AI, от подобряване на видео разговори до ускоряване на творчески работни процеси. Въпреки това, сложната софтуерна екосистема, необходима за овладяване на тази мощ, се превърна в нова граница за предизвикателствата пред сигурността. Скорошни разкрития показват, че драйверите и комплектите за разработка на софтуер (SDKs), които са в основата на Ryzen AI, крият критични пропуски в сигурността, потенциално излагайки потребителите и разработчиците на значителни рискове. AMD призна тези проблеми и пусна пачове, настоявайки за бързи действия от засегнатите страни.

Разглеждане на опасенията за сигурността на Ryzen AI

Интегрирането на специализиран хардуер като NPUs въвежда сложност не само в дизайна, но и в софтуерните слоеве, които ги управляват. Драйверите действат като решаващ интерфейс между операционната система и хардуера, докато SDKs предоставят на разработчиците инструментите за изграждане на приложения, които използват възможностите на хардуера. Уязвимостите в което и да е от тях могат да имат сериозни последици. Скорошният бюлетин за сигурност на AMD подчертава множество високорискови недостатъци, засягащи екосистемата на Ryzen AI, изискващи незабавно внимание както от крайните потребители, чиито системи включват тези чипове, така и от разработчиците, изграждащи следващото поколение приложения, задвижвани от AI.

Компанията идентифицира общо четири отделни уязвимости. Три от тях се намират в самия NPU драйвер, софтуерният компонент, пряко отговорен за управлението на AI ко-процесора. Четвъртата уязвимост засяга Ryzen AI Software SDK, представлявайки риск за разработчиците, използващи инструментите на AMD. Потенциалното въздействие варира от неоторизирано разкриване на информация и повреда на данни до пълно компрометиране на системата чрез произволно изпълнение на код, което подчертава сериозността на констатациите. Това не са незначителни грешки; те представляват значителни пукнатини в основата на стратегията на AMD за AI на устройството, изискващи внимателно отстраняване.

Целочислени препълвания засягат NPU драйвера

В основата на проблемите на ниво драйвер са три отделни уязвимости от тип целочислено препълване (integer overflow). Целочисленото препълване е класически, но постоянно опасен тип софтуерна грешка. То възниква, когато аритметична операция се опитва да създаде числова стойност, която надвишава капацитета за съхранение, разпределен за нея. Представете си, че се опитвате да излеете пет литра вода в четирилитрова кана – излишъкът прелива. В софтуерен смисъл това ‘преливане’ може да презапише съседни места в паметта, които не е било предвидено да бъдат променяни.

Нападателите често могат да експлоатират това състояние на препълване стратегически. Чрез внимателно изработване на входни данни, които предизвикват препълването, те може да успеят да запишат злонамерен код или данни в непредвидени области на паметта. Ако успеят, това може да презапише критични програмни инструкции или структури от данни, потенциално отвличайки потока на изпълнение на програмата. В контекста на хардуерен драйвер, който често работи с високи привилегии в операционната система, такава експлоатация може да бъде опустошителна.

AMD каталогизира тези три уязвимости на NPU драйвера, както следва:

• CVE-2024-36336: Класифицирана от AMD с CVSS резултат 7.9, което показва ‘Висока’ сериозност. Специфичният механизъм включва целочислено препълване, което може да доведе до запис на данни извън определения буфер на паметта.
• CVE-2024-36337: Също оценена с CVSS 7.9 (‘Висока’), тази уязвимост представлява подобен сценарий на целочислено препълване, отново рискувайки запис на памет извън границите.
• CVE-2024-36328: Този недостатък носи CVSS резултат 7.3, все още категоризиран като ‘Висока’ сериозност. Подобно на останалите, той произтича от състояние на целочислено препълване в NPU драйвера.

Докато официалното описание на AMD предпазливо обобщава потенциалното въздействие на тези недостатъци като ‘загуба на поверителност, цялостност или наличност’, техническата същност на целочислените препълвания в привилегировани драйвери силно предполага възможността за произволно изпълнение на код. Нападател, който успешно експлоатира една от тези уязвимости, потенциално би могъл да получи дълбок достъп до системата, да заобиколи мерките за сигурност, да инсталира зловреден софтуер, да открадне чувствителна информация или да наруши изцяло системните операции. Оценките за ‘Висока’ сериозност отразяват този потенциал за значителна вреда. Получаването на контрол над NPU драйвер би могло, на теория, да позволи на нападател да манипулира AI операции, да компрометира AI модели, работещи локално, или да използва привилегиите на драйвера като стъпало към по-широк контрол над системата.

Предизвикателството се крие в това как тези уязвимости могат да бъдат задействани. Обикновено уязвимостите на драйверите изискват нападателят да има някакво ниво на локален достъп или способността да изпълнява специфичен софтуер, който взаимодейства с дефектния компонент на драйвера. Това може да се случи чрез зловреден софтуер, който вече присъства в системата, или потенциално чрез специално изработени входни данни, обработени от приложения, използващи хардуера Ryzen AI. Независимо от конкретния вектор на атака, потенциалът за експлоатация налага незабавно прилагане на пачове.

Риск от ескалация на привилегии в Ryzen AI SDK

Освен драйвера, насочен към крайния потребител, AMD идентифицира и критична уязвимост в рамките на Ryzen AI Software Software Development Kit (SDK). SDKs са основни набори от инструменти за разработчици на софтуер, предоставящи библиотеки, примерни кодове и помощни програми, необходими за изграждане на приложения за конкретна платформа или хардуерна функция. В този случай Ryzen AI Software SDK позволява на разработчиците да интегрират възможностите на Ryzen AI в собствените си програми.

Откритата тук уязвимост, проследена като CVE-2025-0014 (забележка: обозначението на годината в CVE е необичайно, обикновено отразява годината на докладване/откриване; това може да е типографска грешка в доклада, но е посочено тук, както е официално обозначено), е фундаментално различна от препълванията в драйвера. Тя се отнася до неправилни разрешения по подразбиране, зададени по време на инсталационния процес на SDK. Този недостатък също е оценен с CVSS 7.3 (‘Висока’).

Правилните разрешения на файловата система са крайъгълен камък на сигурността на операционната система. Те диктуват кои потребители или процеси имат права да четат, пишат или изпълняват файлове и директории. Когато се инсталира софтуер, особено компоненти, които могат да работят с повишени привилегии или да обработват чувствителни операции, е изключително важно инсталационната директория и нейното съдържание да бъдат защитени с подходящи разрешения. Неправилно разрешителните настройки могат да създадат опасни пропуски.

В случая на CVE-2025-0014, инсталационният път за софтуерните компоненти на Ryzen AI очевидно получава разрешения по подразбиране, които са твърде снизходителни. Това би могло да позволи на ниско привилегирован нападател, който вече присъства на машината на разработчика, да промени или замени критични файлове в инсталационната директория на SDK. Ако след това разработчик използва компрометираните компоненти на SDK за изграждане или стартиране на своето AI приложение, модифицираният код на нападателя може да бъде изпълнен, потенциално с привилегиите на разработчика или самото приложение.

Това представлява атака за ескалация на привилегии. Нападателят започва с ограничен достъп, но използва пропуска в разрешенията, за да получи контрол на по-високо ниво, ефективно изпълнявайки произволен код в по-привилегирован контекст. За разработчици, работещи по чувствителни AI проекти, такова компрометиране може да доведе до кражба на интелектуална собственост, вмъкване на задни врати в разработения софтуер или използване на машината на разработчика като стартова площадка за по-нататъшни атаки в мрежата. Въздействието се простира отвъд отделния разработчик, потенциално засягайки крайните потребители на софтуера, създаден с компрометирания SDK.

Защита на вашата система: Пътят за отстраняване на AMD

Признавайки сериозността на тези уязвимости, AMD предприе действия за предоставяне на корекции. Актуализирани версии както на NPU драйвера, така и на Ryzen AI Software SDK вече са налични, предназначени да затворят тези пропуски в сигурността. На потребителите и разработчиците, използващи технологията Ryzen AI, силно се препоръчва да инсталират тези актуализации без забавяне.

Получаване на пачовете:

Необходимите актуализации могат да бъдат намерени на официалния уебсайт на AMD за софтуера Ryzen AI. Достъпът до тези ресурси обикновено включва няколко стъпки:

1. AMD акаунт: Потребителите вероятно ще трябва да влязат със съществуващ AMD акаунт или да създадат нов. Това е стандартна практика за доставчици, разпространяващи специализиран софтуер и драйвери.
2. Лицензионно споразумение: За актуализацията на NPU драйвера потребителите може също да трябва да прегледат и приемат лицензионно споразумение, преди да продължат с изтеглянето. Това очертава условията за използване на софтуера.
3. Потвърждение на формуляр: Изтеглянето на актуализацията на Ryzen AI Software SDK може да изисква потвърждаване на данни чрез формуляр, вероятно свързан с участие в програма за разработчици или съответствие с експортните разпоредби.

Актуализиране на NPU драйвера:

За крайните потребители със системи, включващи възможности на Ryzen AI, актуализирането на NPU драйвера е критичната стъпка. Процесът обикновено включва:

1. Изтегляне: Вземете актуализирания пакет с драйвери от уебсайта на AMD Ryzen AI.
2. Извличане: Изтегленият файл обикновено е архив (като ZIP файл). Ще трябва да извлечете съдържанието му на известно място на твърдия си диск.
3. Инсталиране (Администраторски команден ред): Инсталацията може да не е просто изпълним файл с двойно щракване. Указанията на AMD предполагат използването на администраторски команден ред. Това включва отваряне на командния ред с администраторски права (напр. щракване с десен бутон върху иконата на Command Prompt и избор на ‘Run as administrator’) и навигиране до директорията, където сте извлекли файловете на драйвера. Вероятно ще има конкретна команда или скрипт (напр. .bat или .inf файл), споменат в инструкциите на AMD, който трябва да бъде изпълнен, за да се инсталира драйверът. Следването на специфичните инструкции на AMD за изтегления пакет е от решаващо значение тук.

Проверка на актуализацията на драйвера:

След опита за инсталиране е важно да се потвърди, че новата, сигурна версия на драйвера е активна. Това обикновено може да се направи чрез Windows Device Manager:

1. Отворете Device Manager (можете да го потърсите в лентата за търсене на Windows).
2. Намерете съответното хардуерно устройство, свързано с Ryzen AI или NPU. То може да бъде изброено под категории като ‘System devices’, ‘Processors’ или специална категория за AI ускорители.
3. Щракнете с десен бутон върху устройството и изберете ‘Properties’.
4. Отидете на раздела ‘Driver’.
5. Проверете полето ‘Driver Version’. Според информацията, свързана с пача, потребителите трябва да търсят версия 32.0.203.257 или по-нова. Свързаната дата на драйвера, спомената в някои доклади (12.03.2025), изглежда аномална и може да е печатна грешка или да се отнася до конкретен идентификатор на компилация; номерът на версията е най-надеждният индикатор за пачнатия софтуер. Ако Device Manager показва тази версия или по-висока, актуализацията е била успешна.

Актуализиране на Ryzen AI Software SDK:

За разработчиците на софтуер, използващи SDK, процесът включва изтегляне и инсталиране на най-новата версия:

1. Изтегляне: Достъпете уебсайта на AMD Ryzen AI (изискващ влизане и потенциално потвърждение на формуляр), за да изтеглите актуализирания SDK. Пачнатата версия е идентифицирана като Ryzen AI Software 1.4.0 или по-нова. Бъдете подготвени за значително изтегляне, тъй като инсталационният пакет е отбелязан като около 3.4 GB.
2. Инсталиране: Стартирайте изтегления инсталационен пакет. Той трябва да презапише предишната инсталация или да ви преведе през процес на надграждане, като гарантира, че коригираните разрешения на файловете (адресиращи CVE-2025-0014) и всички други актуализации са приложени.

Предвид оценките за ‘Висока’ сериозност на всички идентифицирани уязвимости, бързото прилагане на пачове е от първостепенно значение. Забавянето на тези актуализации оставя системите и развойните среди изложени на потенциална експлоатация.

По-широкият контекст: AI хардуер и сигурност

Тези уязвимости в софтуера Ryzen AI на AMD подчертават нарастващото предизвикателство в технологичната индустрия: осигуряването на все по-сложните хардуерни и софтуерни екосистеми, захранващи изкуствения интелект. Тъй като AI натоварванията се преместват от облака към крайни устройства и персонални компютри – така нареченият ‘AI на устройството’ – последиците за сигурността се умножават.

Разширяване на повърхността за атака: Интегрирането на специализиран хардуер като NPUs фундаментално увеличава повърхността за атака на системата. Всеки нов хардуерен компонент идва със собствен набор от драйвери, фърмуер и софтуер за управление, всички от които потенциално могат да съдържат експлоатируеми недостатъци. Уязвимостите на NPU драйвера демонстрират този риск директно.

Сложността поражда грешки: Съвременните процесори и придружаващият ги софтуер са изключително сложни. Заплетените взаимодействия между CPU, NPU, операционната система, драйверите и приложенията създават безброй възможности за промъкване на фини грешки – като целочислени препълвания или неправилни настройки на разрешенията – по време на разработката. Задълбоченият одит и тестване на сигурността са жизненоважни, но е предизвикателство да се извършат изчерпателно.

Значение на софтуерния слой: Докато хардуерното ускорение е ключово, софтуерът (драйвери и SDKs) е това, което го прави използваем и достъпен. Недостатъците в този софтуерен слой могат напълно да подкопаят сигурността на основния хардуер, дори ако самият чип е здрав. Уязвимостта на SDK (CVE-2025-0014) подчертава как дори инструментите, използвани за изграждане на AI приложения, могат да се превърнат във вектори за компрометиране, ако не са правилно защитени.

Рискове във веригата на доставки: За разработчиците уязвимостта на SDK въвежда форма на риск във веригата на доставки. Ако инструментите, на които разчитат, са компрометирани, софтуерът, който произвеждат, може неволно да съдържа зловреден софтуер или задни врати, засягайки собствените им клиенти. Това подчертава необходимостта разработчиците да гарантират, че техните развойни среди и вериги от инструменти са сигурни.

Наложителността на пачовете: Откриването на тези недостатъци също подчертава постоянната нужда от стабилни процеси за разкриване на уязвимости и прилагане на пачове от страна на доставчиците на хардуер. Навременната реакция на AMD в признаването на проблемите и предоставянето на актуализации е от решаващо значение. Въпреки това, отговорността след това пада върху потребителите и разработчиците да прилагат тези пачове усърдно. Ефективността на всяка корекция на сигурността зависи изцяло от степента на нейното приемане. Непачнатите системи остават лесна плячка за нападатели, които са наясно с публикуваните уязвимости.

Тъй като AI става все по-дълбоко интегриран в нашите компютърни изживявания, сигурността на основните компоненти – както хардуерни, така и софтуерни – ще става все по-критична. Инциденти като този служат като силно напомняне, че иновациите трябва да вървят ръка за ръка със стриктно инженерство на сигурността и ангажимент за текуща поддръжка и прилагане на пачове. Потребителите се възползват от мощта на Ryzen AI, но тази полза разчита на основата на доверие, че технологията е не само мощна, но и сигурна. Поддържането на това доверие изисква бдителност от страна на доставчици, разработчици и крайни потребители. Бързото прилагане на предоставените от AMD актуализации е необходимата първа стъпка за укрепване на тази основа срещу тези специфични заплахи.