פגיעויות תוכנה חמורות ב-Ryzen AI של AMD

ההתקדמות הבלתי פוסקת של הבינה המלאכותית (AI) דחפה יצרניות חומרה להטמיע יכולות עיבוד ייעודיות ישירות בשבבי הסיליקון שלהן. Advanced Micro Devices (AMD), שחקנית מרכזית בתעשיית המוליכים למחצה, אימצה מגמה זו, וציידה את הדורות החדשים יותר של המעבדים שלה במאיצי AI ייעודיים, המשווקים תחת המותג ‘Ryzen AI’. יחידות עיבוד עצביות אלו (NPUs - Neural Processing Units) מבטיחות לשפר משמעותית את הביצועים למשימות מבוססות AI, החל משיפור שיחות וידאו ועד להאצת תהליכי עבודה יצירתיים. עם זאת, המערכת האקולוגית המורכבת של התוכנה הנדרשת לרתום כוח זה הפכה לחזית חדשה לאתגרי אבטחה. גילויים אחרונים חושפים כי הדרייברים וערכות פיתוח התוכנה (SDKs - Software Development Kits) העומדים בבסיס Ryzen AI מכילים פגמי אבטחה קריטיים, העלולים לחשוף משתמשים ומפתחים לסיכונים משמעותיים. AMD הודתה בבעיות אלו ושחררה תיקונים, תוך דרישה לפעולה מהירה מצד הגורמים המושפעים.

פירוט חששות האבטחה ב-Ryzen AI

השילוב של חומרה ייעודית כמו NPUs מציג מורכבות לא רק בתכנון אלא גם בשכבות התוכנה המנהלות אותן. דרייברים פועלים כממשק החיוני בין מערכת ההפעלה לחומרה, בעוד ש-SDKs מספקים למפתחים את הכלים לבנות יישומים המנצלים את יכולות החומרה. פגיעויות בכל אחד מהם עלולות לגרום להשלכות חמורות. עלון האבטחה האחרון של AMD מדגיש מספר פגמים בסיכון גבוה המשפיעים על המערכת האקולוגית של Ryzen AI, הדורשים תשומת לב מיידית הן ממשתמשי קצה שמערכותיהם משלבות שבבים אלו והן מהמפתחים הבונים את הדור הבא של יישומי AI.

החברה זיהתה בסך הכל ארבע פגיעויות נפרדות. שלוש מהן נמצאות בתוך דרייבר ה-NPU עצמו, רכיב התוכנה האחראי ישירות לניהול מעבד ה-AI המשני. הפגיעות הרביעית משפיעה על ה-Ryzen AI Software SDK, ומהווה סיכון למפתחים המשתמשים בכלים של AMD. ההשפעה הפוטנציאלית נעה מחשיפת מידע בלתי מורשית והשחתת נתונים ועד לפגיעה מוחלטת במערכת באמצעות הרצת קוד שרירותי, מה שמדגיש את חומרת הממצאים. אלו אינם באגים קלים; הם מייצגים סדקים משמעותיים ביסודות אסטרטגיית ה-AI המקומי (on-device) של AMD, הדורשים תיקון זהיר.

גלישות מספרים שלמים (Integer Overflows) פוגעות בדרייבר ה-NPU

בלב הבעיות ברמת הדרייבר נמצאות שלוש פגיעויות נפרדות של גלישת מספרים שלמים (integer overflow). גלישת מספר שלם היא סוג קלאסי, אך מסוכן בהתמדה, של באג תוכנה. היא מתרחשת כאשר פעולה אריתמטית מנסה ליצור ערך מספרי החורג מקיבולת האחסון שהוקצתה לו. דמיינו שאתם מנסים למזוג חמישה ליטרים של מים לכד של ארבעה ליטרים – העודף נשפך החוצה. במונחי תוכנה, “שפיכה” זו יכולה לדרוס מיקומי זיכרון סמוכים שלא נועדו לשינוי.

תוקפים יכולים לעיתים קרובות לנצל מצב גלישה זה באופן אסטרטגי. על ידי יצירה קפדנית של נתוני קלט המפעילים את הגלישה, הם עשויים להיות מסוגלים לכתוב קוד או נתונים זדוניים לאזורי זיכרון לא מכוונים. אם יצליחו, הדבר עלול לדרוס הוראות תוכנית קריטיות או מבני נתונים, ובכך לחטוף את זרימת הביצוע של התוכנית. בהקשר של דרייבר חומרה, שלעיתים קרובות פועל עם הרשאות גבוהות בתוך מערכת ההפעלה, ניצול כזה עלול להיות הרסני.

AMD קטלגה את שלוש פגיעויות דרייבר ה-NPU הללו באופן הבא:

• CVE-2024-36336: סווג על ידי AMD עם ציון CVSS של 7.9, המצביע על חומרה “גבוהה” (High). המנגנון הספציפי כולל גלישת מספר שלם שעלולה להוביל לכתיבת נתונים מחוץ למאגר הזיכרון המיועד (out-of-bounds write).
• CVE-2024-36337: מדורג גם הוא CVSS 7.9 (“גבוהה”), פגיעות זו מציגה תרחיש דומה של גלישת מספר שלם, שוב מסכנת בכתיבת זיכרון מחוץ לתחום.
• CVE-2024-36328: פגם זה נושא ציון CVSS של 7.3, שעדיין מסווג כחומרה “גבוהה”. כמו האחרים, הוא נובע ממצב של גלישת מספר שלם בתוך דרייבר ה-NPU.

בעוד שהתיאור הרשמי של AMD מסכם בזהירות את ההשפעה הפוטנציאלית של פגמים אלו כ”אובדן סודיות, שלמות או זמינות”, האופי הטכני של גלישות מספרים שלמים בדרייברים בעלי הרשאות גבוהות מרמז بقوة על האפשרות של הרצת קוד שרירותי (arbitrary code execution). תוקף שינצל בהצלחה אחת מהפגיעויות הללו יוכל פוטנציאלית להשיג גישה עמוקה למערכת, לעקוף אמצעי אבטחה, להתקין תוכנות זדוניות, לגנוב מידע רגיש או לשבש את פעולת המערכת לחלוטין. הדירוגים בחומרה “גבוהה” משקפים פוטנציאל זה לנזק משמעותי. השגת שליטה על דרייבר NPU יכולה, תיאורטית, לאפשר לתוקף לתמרן פעולות AI, לפגוע במודלי AI הפועלים מקומית, או להשתמש בהרשאות הדרייבר כקרש קפיצה לשליטה רחבה יותר במערכת.

האתגר טמון באופן שבו ניתן להפעיל פגיעויות אלו. בדרך כלל, פגיעויות דרייבר דורשות שלתוקף תהיה רמה מסוימת של גישה מקומית או היכולת להריץ תוכנה ספציפית המקיימת אינטראקציה עם רכיב הדרייבר הפגום. זה יכול לקרות באמצעות תוכנה זדונית שכבר קיימת במערכת או פוטנציאלית באמצעות נתוני קלט שנוצרו במיוחד ומעובדים על ידי יישומים המשתמשים בחומרת Ryzen AI. ללא קשר לווקטור ההתקפה הספציפי, הפוטנציאל לניצול מצדיק תיקון מיידי.

סיכון להסלמת הרשאות (Privilege Escalation) ב-Ryzen AI SDK

מעבר לדרייבר הפונה למשתמש הקצה, AMD זיהתה גם פגיעות קריטית בתוך ערכת פיתוח התוכנה (SDK) של Ryzen AI Software. SDKs הם ערכות כלים חיוניות למפתחי תוכנה, המספקות ספריות, דוגמאות קוד וכלי עזר הדרושים לבניית יישומים עבור פלטפורמה או תכונת חומרה ספציפית. במקרה זה, ה-Ryzen AI Software SDK מאפשר למפתחים לשלב יכולות Ryzen AI בתוכניות שלהם.

הפגיעות שהתגלתה כאן, המנוטרת כ-CVE-2025-0014 (הערה: ציון שנת ה-CVE אינו רגיל, בדרך כלל משקף את שנת הדיווח/גילוי; ייתכן שמדובר בשגיאת הקלדה בדיווח, אך מופיע כאן כפי שצוין רשמית), שונה מהותית מגלישות הדרייבר. היא נוגעת להרשאות ברירת מחדל שגויות שנקבעו במהלך תהליך ההתקנה של ה-SDK. פגם זה מדורג גם הוא CVSS 7.3 (“גבוהה”).

הרשאות תקינות של מערכת הקבצים הן אבן יסוד באבטחת מערכת ההפעלה. הן קובעות לאילו משתמשים או תהליכים יש את הזכויות לקרוא, לכתוב או להריץ קבצים וספריות. כאשר מותקנת תוכנה, במיוחד רכיבים שעשויים לפעול עם הרשאות מוגברות או לטפל בפעולות רגישות, חיוני שספריית ההתקנה ותכולתה יהיו מוגנים על ידי הרשאות מתאימות. הגדרות מתירניות מדי עלולות ליצור פרצות מסוכנות.

במקרה של CVE-2025-0014, נתיב ההתקנה של רכיבי התוכנה של Ryzen AI מקבל ככל הנראה הרשאות ברירת מחדל שהן מקלות מדי. הדבר עלול לאפשר לתוקף בעל הרשאות נמוכות שכבר נמצא במחשב המפתח לשנות או להחליף קבצים קריטיים בתוך ספריית ההתקנה של ה-SDK. אם מפתח ישתמש לאחר מכן ברכיבי ה-SDK שנפגעו כדי לבנות או להריץ את יישום ה-AI שלו, הקוד ששונה על ידי התוקף עלול להיות מורץ, פוטנציאלית עם ההרשאות של המפתח או של היישום עצמו.

זה מהווה התקפת הסלמת הרשאות (privilege escalation). התוקף מתחיל עם גישה מוגבלת אך מנצל את פגם ההרשאות כדי להשיג שליטה ברמה גבוהה יותר, ובכך מריץ קוד שרירותי בהקשר מורשה יותר. עבור מפתחים העובדים על פרויקטי AI רגישים, פגיעה כזו עלולה להוביל לגניבת קניין רוחני, החדרת דלתות אחוריות לתוכנה המפותחת, או שימוש במחשב המפתח כנקודת זינוק להתקפות נוספות בתוך רשת. ההשפעה חורגת מעבר למפתח הבודד, ועלולה להשפיע על משתמשי הקצה של התוכנה שנוצרה באמצעות ה-SDK שנפגע.

אבטחת המערכת שלך: נתיב התיקון של AMD

מתוך הכרה בחומרת הפגיעויות הללו, AMD פעלה לספק תיקונים. גרסאות מעודכנות הן של דרייבר ה-NPU והן של ה-Ryzen AI Software SDK זמינות כעת, ומיועדות לסגור את פרצות האבטחה הללו. משתמשים ומפתחים הממנפים את טכנולוגיית Ryzen AI מתבקשים בחום להתקין עדכונים אלה ללא דיחוי.

השגת התיקונים:

ניתן למצוא את העדכונים הדרושים באתר התוכנה הרשמי של Ryzen AI של AMD. הגישה למשאבים אלה כרוכה בדרך כלל במספר שלבים:

1. חשבון AMD: סביר להניח שמשתמשים יצטרכו להתחבר עם חשבון AMD קיים או ליצור חשבון חדש. זוהי פרקטיקה סטנדרטית עבור ספקים המפיצים תוכנות ודרייברים ייעודיים.
2. הסכם רישיון: עבור עדכון דרייבר ה-NPU, ייתכן שמשתמשים יצטרכו גם לעיין ולקבל הסכם רישיון לפני שימשיכו בהורדה. זה מתווה את תנאי השימוש בתוכנה.
3. אישור טופס: הורדת עדכון ה-Ryzen AI Software SDK עשויה לדרוש אישור פרטים באמצעות טופס, ככל הנראה קשור להשתתפות בתוכנית מפתחים או לתאימות ייצוא.

עדכון דרייבר ה-NPU:

עבור משתמשי קצה עם מערכות הכוללות יכולות Ryzen AI, עדכון דרייבר ה-NPU הוא הצעד הקריטי. התהליך כולל בדרך כלל:

1. הורדה: השג את חבילת הדרייבר המעודכנת מאתר AMD Ryzen AI.
2. חילוץ: הקובץ שהורד הוא בדרך כלל ארכיון (כמו קובץ ZIP). תצטרך לחלץ את תוכנו למיקום ידוע בכונן הקשיח שלך.
3. התקנה (שורת פקודה כמנהל): ייתכן שההתקנה אינה קובץ הפעלה פשוט בלחיצה כפולה. ההנחיות של AMD מציעות להשתמש בשורת פקודה כמנהל. זה כרוך בפתיחת שורת הפקודה עם הרשאות מנהל (למשל, לחיצה ימנית על סמל שורת הפקודה ובחירה ב”הפעל כמנהל”) וניווט לספרייה שבה חילצת את קבצי הדרייבר. סביר להניח שתהיה פקודה או סקריפט ספציפיים (למשל, קובץ .bat או .inf) המוזכרים בהוראות של AMD שיש להריץ כדי להתקין את הדרייבר. מעקב אחר ההוראות הספציפיות של AMD עבור החבילה שהורדת הוא חיוני כאן.

אימות עדכון הדרייבר:

לאחר ניסיון ההתקנה, חיוני לאשר שגרסת הדרייבר החדשה והמאובטחת פעילה. בדרך כלל ניתן לעשות זאת דרך מנהל ההתקנים של Windows (Windows Device Manager):

1. פתח את מנהל ההתקנים (תוכל לחפש אותו בשורת החיפוש של Windows).
2. אתר את התקן החומרה הרלוונטי המשויך ל-Ryzen AI או ל-NPU. הוא עשוי להופיע תחת קטגוריות כמו “התקני מערכת”, “מעבדים” או קטגוריית מאיצי AI ייעודית.
3. לחץ לחיצה ימנית על ההתקן ובחר “מאפיינים”.
4. נווט ללשונית “מנהל התקן”.
5. בדוק את השדה “גרסת מנהל התקן”. על פי המידע המשויך לתיקון, משתמשים צריכים לחפש את גרסה 32.0.203.257 ואילך. תאריך הדרייבר המשויך המוזכר בחלק מהדיווחים (12.03.2025) נראה חריג ועשוי להיות שגיאת הקלדה או קשור למזהה בנייה ספציפי; מספר הגרסה הוא המדד האמין ביותר לתוכנה המתוקנת. אם מנהל ההתקנים מציג גרסה זו או גרסה גבוהה יותר, העדכון הצליח.

עדכון ה-Ryzen AI Software SDK:

עבור מפתחי תוכנה המשתמשים ב-SDK, התהליך כולל הורדה והתקנה של הגרסה העדכנית ביותר:

1. הורדה: גש לאתר AMD Ryzen AI (דורש התחברות ואולי אישור טופס) כדי להוריד את ה-SDK המעודכן. הגרסה המתוקנת מזוהה כ-Ryzen AI Software 1.4.0 ואילך. היו מוכנים להורדה משמעותית, שכן חבילת ההתקנה מצוינת כבסביבות 3.4 GB.
2. התקנה: הפעל את חבילת ההתקנה שהורדת. היא אמורה לדרוס את ההתקנה הקודמת או להדריך אותך בתהליך שדרוג, תוך הבטחה שהרשאות הקבצים המתוקנות (המתייחסות ל-CVE-2025-0014) וכל עדכון אחר ייושמו.

בהתחשב בדירוגי החומרה “הגבוהה” בכל הפגיעויות שזוהו, תיקון מהיר הוא בעל חשיבות עליונה. עיכוב בעדכונים אלה משאיר מערכות וסביבות פיתוח חשופות לניצול פוטנציאלי.

ההקשר הרחב יותר: חומרת AI ואבטחה

פגיעויות אלו בתוכנת Ryzen AI של AMD מדגישות אתגר גובר בתעשיית הטכנולוגיה: אבטחת המערכות האקולוגיות המורכבות יותר ויותר של חומרה ותוכנה המניעות בינה מלאכותית. ככל שעומסי עבודה של AI עוברים מהענן להתקני קצה ולמחשבים אישיים – מה שמכונה “AI במכשיר” (on-device AI) – ההשלכות האבטחתיות מתרבות.

הרחבת משטח התקיפה: שילוב חומרה ייעודית כמו NPUs מגדיל באופן יסודי את משטח התקיפה של המערכת. כל רכיב חומרה חדש מגיע עם סט דרייברים, קושחה ותוכנות ניהול משלו, שכולם עלולים להכיל פגמים ניתנים לניצול. פגיעויות דרייבר ה-NPU מדגימות סיכון זה ישירות.

מורכבות מולידה באגים: מעבדים מודרניים והתוכנה הנלווית להם מורכבים בצורה יוצאת דופן. האינטראקציות הסבוכות בין ה-CPU, ה-NPU, מערכת ההפעלה, הדרייברים והיישומים יוצרות אינספור הזדמנויות לשגיאות עדינות – כמו גלישות מספרים שלמים או הגדרות הרשאה שגויות – להסתנן במהלך הפיתוח. ביקורת ובדיקות אבטחה יסודיות חיוניות אך מאתגרות לביצוע באופן ממצה.

חשיבות שכבת התוכנה: בעוד שהאצת החומרה היא המפתח, התוכנה (דרייברים ו-SDKs) היא מה שהופך אותה לשמישה ונגישה. פגמים בשכבת תוכנה זו יכולים לערער לחלוטין את אבטחת החומרה הבסיסית, גם אם הסיליקון עצמו תקין. פגיעות ה-SDK (CVE-2025-0014) מדגישה כיצד אפילו הכלים המשמשים לבניית יישומי AI יכולים להפוך לווקטורים לפגיעה אם אינם מאובטחים כראוי.

סיכוני שרשרת אספקה: עבור מפתחים, פגיעות SDK מציגה צורה של סיכון בשרשרת האספקה. אם הכלים שעליהם הם מסתמכים נפגעים, התוכנה שהם מייצרים עלולה להכיל בשוגג תוכנות זדוניות או דלתות אחוריות, ולהשפיע על הלקוחות שלהם. זה מדגיש את הצורך של מפתחים להבטיח שסביבות הפיתוח ושרשראות הכלים שלהם מאובטחות.

חובת התיקון: גילוי פגמים אלה מדגיש גם את הצורך המתמשך בתהליכי גילוי פגיעויות ותיקון חזקים מצד ספקי חומרה. התגובה המהירה של AMD בהכרה בבעיות ובאספקת עדכונים היא חיונית. עם זאת, האחריות מוטלת אז על המשתמשים והמפתחים ליישם תיקונים אלה בחריצות. יעילותו של כל תיקון אבטחה תלויה לחלוטין בשיעור האימוץ שלו. מערכות לא מתוקנות נותרות פרי קל לקטיפה עבור תוקפים המודעים לפגיעויות שפורסמו.

ככל ש-AI משתלב עמוק יותר בחוויות המחשוב שלנו, אבטחת הרכיבים הבסיסיים – הן חומרה והן תוכנה – תהפוך לקריטית יותר ויותר. תקריות כאלה משמשות תזכורת חזקה לכך שחדשנות חייבת ללכת יד ביד עם הנדסת אבטחה קפדנית ומחויבות לתחזוקה ותיקון שוטפים. משתמשים נהנים מהעוצמה של Ryzen AI, אך יתרון זה נשען על בסיס של אמון שהטכנולוגיה אינה רק חזקה אלא גם מאובטחת. שמירה על אמון זה דורשת ערנות מצד ספקים, מפתחים ומשתמשי קצה כאחד. היישום המהיר של העדכונים שסופקו על ידי AMD הוא הצעד הראשון ההכרחי בחיזוק בסיס זה כנגד איומים ספציפיים אלה.