Ryzen AI od AMD: Krytyczne luki w oprogramowaniu

Nieustanny postęp sztucznej inteligencji skłonił producentów sprzętu do osadzania wyspecjalizowanych możliwości przetwarzania bezpośrednio w swoich układach krzemowych. Advanced Micro Devices (AMD), główny gracz w branży półprzewodników, podążył za tym trendem, wyposażając swoje nowsze generacje procesorów w dedykowane akceleratory AI, sprzedawane pod marką ‘Ryzen AI’. Te jednostki przetwarzania neuronowego (NPU) obiecują znacząco zwiększyć wydajność zadań opartych na AI, od ulepszania wideokonferencji po przyspieszanie kreatywnych przepływów pracy. Jednakże, zaawansowany ekosystem oprogramowania wymagany do wykorzystania tej mocy stał się nową granicą dla wyzwań związanych z bezpieczeństwem. Ostatnie ujawnienia wskazują, że sterowniki i zestawy narzędzi programistycznych (SDK) stanowiące podstawę Ryzen AI zawierają krytyczne luki w zabezpieczeniach, potencjalnie narażając użytkowników i deweloperów na znaczne ryzyko. AMD przyznało się do tych problemów i wydało poprawki, wzywając do szybkiego działania strony, których problem dotyczy.

Rozpakowywanie obaw dotyczących bezpieczeństwa Ryzen AI

Integracja specjalistycznego sprzętu, takiego jak NPU, wprowadza złożoność nie tylko w projektowaniu, ale także w warstwach oprogramowania, które nimi zarządzają. Sterowniki działają jako kluczowy interfejs między systemem operacyjnym a sprzętem, podczas gdy SDK dostarczają deweloperom narzędzi do tworzenia aplikacji wykorzystujących możliwości sprzętu. Luki w jednym lub drugim mogą mieć poważne konsekwencje. Ostatni biuletyn bezpieczeństwa AMD podkreśla wiele luk o wysokim ryzyku wpływających na ekosystem Ryzen AI, wymagających natychmiastowej uwagi zarówno od użytkowników końcowych, których systemy zawierają te układy, jak i od deweloperów tworzących następną generację aplikacji opartych na AI.

Firma zidentyfikowała łącznie cztery odrębne luki. Trzy z nich znajdują się w samym sterowniku NPU, komponencie oprogramowania bezpośrednio odpowiedzialnym za zarządzanie koprocesorem AI. Czwarta luka dotyczy Ryzen AI Software SDK, stwarzając ryzyko dla deweloperów korzystających z narzędzi AMD. Potencjalny wpływ waha się od nieautoryzowanego ujawnienia informacji i uszkodzenia danych po całkowite przejęcie kontroli nad systemem poprzez wykonanie dowolnego kodu, co podkreśla powagę ustaleń. To nie są drobne błędy; stanowią one znaczące pęknięcia w fundamentach strategii AI na urządzeniu firmy AMD, wymagające starannej naprawy.

Przepełnienia całkowitoliczbowe nękają sterownik NPU

U podstaw problemów na poziomie sterownika leżą trzy oddzielne luki typu integer overflow (przepełnienie całkowitoliczbowe). Przepełnienie całkowitoliczbowe to klasyczny, ale wciąż niebezpieczny typ błędu oprogramowania. Występuje, gdy operacja arytmetyczna próbuje utworzyć wartość liczbową przekraczającą pojemność pamięci przeznaczoną dla niej. Wyobraź sobie próbę wlania pięciu litrów wody do czterolitrowego dzbanka – nadmiar się wylewa. W terminologii oprogramowania, ten ‘rozlew’ może nadpisać sąsiednie lokalizacje pamięci, które nie miały być modyfikowane.

Atakujący często mogą strategicznie wykorzystać ten stan przepełnienia. Poprzez staranne przygotowanie danych wejściowych, które wywołują przepełnienie, mogą być w stanie zapisać złośliwy kod lub dane w niezamierzonych obszarach pamięci. Jeśli się powiedzie, może to nadpisać krytyczne instrukcje programu lub struktury danych, potencjalnie przejmując kontrolę nad przepływem wykonania programu. W kontekście sterownika sprzętowego, który często działa z wysokimi uprawnieniami w systemie operacyjnym, taki exploit może być druzgocący.

AMD skatalogowało te trzy luki w sterowniku NPU w następujący sposób:

• CVE-2024-36336: Sklasyfikowana przez AMD z wynikiem CVSS 7.9, wskazującym na ‘Wysoką’ powagę. Specyficzny mechanizm obejmuje przepełnienie całkowitoliczbowe, które może prowadzić do zapisu danych poza wyznaczonym buforem pamięci.
• CVE-2024-36337: Również oceniona na CVSS 7.9 (‘Wysoka’), ta luka przedstawia podobny scenariusz przepełnienia całkowitoliczbowego, ponownie ryzykując zapisy pamięci poza granicami.
• CVE-2024-36328: Ta wada ma wynik CVSS 7.3, nadal skategoryzowana jako ‘Wysoka’ powaga. Podobnie jak pozostałe, wynika ona ze stanu przepełnienia całkowitoliczbowego w sterowniku NPU.

Chociaż oficjalny opis AMD ostrożnie podsumowuje potencjalny wpływ tych wad jako ‘utratę poufności, integralności lub dostępności’, techniczna natura przepełnień całkowitoliczbowych w uprzywilejowanych sterownikach silnie sugeruje możliwość wykonania dowolnego kodu. Atakujący, który pomyślnie wykorzysta jedną z tych luk, mógłby potencjalnie uzyskać głęboki dostęp do systemu, ominąć środki bezpieczeństwa, zainstalować złośliwe oprogramowanie, ukraść wrażliwe informacje lub całkowicie zakłócić działanie systemu. Oceny ‘Wysokiej’ powagi odzwierciedlają ten potencjał znacznych szkód. Uzyskanie kontroli nad sterownikiem NPU mogłoby teoretycznie pozwolić atakującemu na manipulowanie operacjami AI, kompromitowanie modeli AI działających lokalnie lub wykorzystanie uprawnień sterownika jako odskoczni do szerszej kontroli nad systemem.

Wyzwanie polega na tym, jak te luki mogą zostać wywołane. Zazwyczaj luki w sterownikach wymagają, aby atakujący miał pewien poziom dostępu lokalnego lub możliwość uruchomienia określonego oprogramowania, które wchodzi w interakcję z wadliwym komponentem sterownika. Może się to zdarzyć poprzez złośliwe oprogramowanie już obecne w systemie lub potencjalnie poprzez specjalnie spreparowane dane wejściowe przetwarzane przez aplikacje korzystające ze sprzętu Ryzen AI. Niezależnie od konkretnego wektora ataku, potencjał wykorzystania uzasadnia natychmiastowe załatanie.

Ryzyko eskalacji uprawnień w Ryzen AI SDK

Poza sterownikiem skierowanym do użytkownika końcowego, AMD zidentyfikowało również krytyczną lukę w zestawie narzędzi programistycznych Ryzen AI Software Software Development Kit (SDK). SDK to niezbędne zestawy narzędzi dla programistów, dostarczające biblioteki, przykłady kodu i narzędzia potrzebne do tworzenia aplikacji dla określonej platformy lub funkcji sprzętowej. W tym przypadku Ryzen AI Software SDK umożliwia deweloperom integrację możliwości Ryzen AI z ich własnymi programami.

Odkryta tutaj luka, śledzona jako CVE-2025-0014 (uwaga: oznaczenie roku CVE jest nietypowe, zazwyczaj odzwierciedla rok zgłoszenia/odkrycia; może to być błąd typograficzny w raportowaniu, ale jest tu wymienione zgodnie z oficjalnym oznaczeniem), jest zasadniczo inna niż przepełnienia sterownika. Dotyczy ona nieprawidłowych domyślnych uprawnień ustawionych podczas procesu instalacji SDK. Ta wada jest również oceniona na CVSS 7.3 (‘Wysoka’).

Właściwe uprawnienia systemu plików są kamieniem węgielnym bezpieczeństwa systemu operacyjnego. Dyktują one, którzy użytkownicy lub procesy mają prawa do odczytu, zapisu lub wykonywania plików i katalogów. Kiedy oprogramowanie jest instalowane, szczególnie komponenty, które mogą działać z podwyższonymi uprawnieniami lub obsługiwać wrażliwe operacje, kluczowe jest, aby katalog instalacyjny i jego zawartość były chronione odpowiednimi uprawnieniami. Nieprawidłowo liberalne ustawienia mogą tworzyć niebezpieczne luki.

W przypadku CVE-2025-0014, ścieżka instalacji komponentów oprogramowania Ryzen AI najwyraźniej otrzymuje domyślne uprawnienia, które są zbyt łagodne. Może to pozwolić atakującemu o niskich uprawnieniach, już obecnemu na maszynie dewelopera, na modyfikację lub zastąpienie krytycznych plików w katalogu instalacyjnym SDK. Jeśli deweloper następnie użyje skompromitowanych komponentów SDK do zbudowania lub uruchomienia swojej aplikacji AI, zmodyfikowany kod atakującego mógłby zostać wykonany, potencjalnie z uprawnieniami dewelopera lub samej aplikacji.

Stanowi to atak typu eskalacja uprawnień. Atakujący zaczyna z ograniczonym dostępem, ale wykorzystuje lukę w uprawnieniach, aby uzyskać kontrolę na wyższym poziomie, skutecznie wykonując dowolny kod w bardziej uprzywilejowanym kontekście. Dla deweloperów pracujących nad wrażliwymi projektami AI, taka kompromitacja może prowadzić do kradzieży własności intelektualnej, wstawienia backdoorów do tworzonego oprogramowania lub wykorzystania maszyny dewelopera jako punktu startowego do dalszych ataków w sieci. Wpływ wykracza poza pojedynczego dewelopera, potencjalnie dotykając dalszych użytkowników oprogramowania stworzonego przy użyciu skompromitowanego SDK.

Zabezpieczanie systemu: Ścieżka naprawcza AMD

Uznając powagę tych luk, AMD podjęło działania w celu dostarczenia poprawek. Zaktualizowane wersje zarówno sterownika NPU, jak i Ryzen AI Software SDK są teraz dostępne, zaprojektowane w celu zamknięcia tych luk bezpieczeństwa. Użytkownikom i deweloperom wykorzystującym technologię Ryzen AI zdecydowanie zaleca się zainstalowanie tych aktualizacji bez zwłoki.

Uzyskiwanie poprawek:

Niezbędne aktualizacje można znaleźć na oficjalnej stronie internetowej oprogramowania Ryzen AI firmy AMD. Dostęp do tych zasobów zazwyczaj obejmuje kilka kroków:

1. Konto AMD: Użytkownicy prawdopodobnie będą musieli zalogować się przy użyciu istniejącego konta AMD lub utworzyć nowe. Jest to standardowa praktyka dla dostawców dystrybuujących specjalistyczne oprogramowanie i sterowniki.
2. Umowa licencyjna: W przypadku aktualizacji sterownika NPU użytkownicy mogą również potrzebować przejrzeć i zaakceptować umowę licencyjną przed przystąpieniem do pobierania. Określa ona warunki użytkowania oprogramowania.
3. Potwierdzenie formularza: Pobieranie aktualizacji Ryzen AI Software SDK może wymagać potwierdzenia szczegółów za pomocą formularza, prawdopodobnie związanego z uczestnictwem w programie deweloperskim lub zgodnością eksportową.

Aktualizacja sterownika NPU:

Dla użytkowników końcowych z systemami wyposażonymi w możliwości Ryzen AI, aktualizacja sterownika NPU jest krokiem krytycznym. Proces zazwyczaj obejmuje:

1. Pobieranie: Uzyskaj zaktualizowany pakiet sterowników ze strony internetowej AMD Ryzen AI.
2. Rozpakowanie: Pobrany plik jest zwykle archiwum (jak plik ZIP). Będziesz musiał rozpakować jego zawartość do znanej lokalizacji na dysku twardym.
3. Instalacja (Wiersz polecenia administratora): Instalacja może nie być prostym plikiem wykonywalnym uruchamianym podwójnym kliknięciem. Wytyczne AMD sugerują użycie wiersza polecenia administratora. Obejmuje to otwarcie wiersza polecenia z uprawnieniami administratora (np. kliknięcie prawym przyciskiem myszy ikony Wiersza polecenia i wybranie ‘Uruchom jako administrator’) i przejście do katalogu, w którym rozpakowałeś pliki sterownika. Prawdopodobnie będzie tam określone polecenie lub skrypt (np. plik .bat lub .inf) wspomniany w instrukcjach AMD, który należy wykonać, aby zainstalować sterownik. Kluczowe jest tutaj postępowanie zgodnie ze szczegółowymi instrukcjami AMD dla pobranego pakietu.

Weryfikacja aktualizacji sterownika:

Po próbie instalacji istotne jest potwierdzenie, że nowa, bezpieczna wersja sterownika jest aktywna. Zazwyczaj można to zrobić za pomocą Menedżera urządzeń Windows (Windows Device Manager):

1. Otwórz Menedżera urządzeń (możesz go wyszukać w pasku wyszukiwania Windows).
2. Zlokalizuj odpowiednie urządzenie sprzętowe powiązane z Ryzen AI lub NPU. Może być ono wymienione w kategoriach takich jak ‘Urządzenia systemowe’, ‘Procesory’ lub dedykowanej kategorii akceleratorów AI.
3. Kliknij prawym przyciskiem myszy urządzenie i wybierz ‘Właściwości’.
4. Przejdź do zakładki ‘Sterownik’.
5. Sprawdź pole ‘Wersja sterownika’. Zgodnie z informacjami związanymi z poprawką, użytkownicy powinni szukać wersji 32.0.203.257 lub nowszej. Powiązana data sterownika wspomniana w niektórych raportach (12.03.2025) wydaje się nietypowa i może być literówką lub odnosić się do konkretnego identyfikatora kompilacji; numer wersji jest najbardziej wiarygodnym wskaźnikiem załatanego oprogramowania. Jeśli Menedżer urządzeń pokazuje tę wersję lub wyższą, aktualizacja zakończyła się pomyślnie.

Aktualizacja Ryzen AI Software SDK:

Dla programistów korzystających z SDK, proces obejmuje pobranie i zainstalowanie najnowszej wersji:

1. Pobieranie: Wejdź na stronę internetową AMD Ryzen AI (wymagane logowanie i potencjalnie potwierdzenie formularza), aby pobrać zaktualizowane SDK. Załatana wersja jest identyfikowana jako Ryzen AI Software 1.4.0 lub nowsza. Bądź przygotowany na znaczne pobieranie, ponieważ pakiet instalacyjny ma około 3.4 GB.
2. Instalacja: Uruchom pobrany pakiet instalacyjny. Powinien on nadpisać poprzednią instalację lub przeprowadzić Cię przez proces aktualizacji, zapewniając zastosowanie poprawionych uprawnień plików (rozwiązujących problem CVE-2025-0014) i wszelkich innych aktualizacji.

Biorąc pod uwagę oceny ‘Wysokiej’ powagi dla wszystkich zidentyfikowanych luk, szybkie łatanie jest najważniejsze. Opóźnianie tych aktualizacji pozostawia systemy i środowiska programistyczne narażone na potencjalne wykorzystanie.

Szerszy kontekst: Sprzęt AI i bezpieczeństwo

Te luki w oprogramowaniu Ryzen AI firmy AMD podkreślają rosnące wyzwanie w branży technologicznej: zabezpieczanie coraz bardziej złożonych ekosystemów sprzętowych i programowych napędzających sztuczną inteligencję. W miarę jak obciążenia AI przenoszą się z chmury na urządzenia brzegowe i komputery osobiste – tak zwane ‘AI na urządzeniu’ – implikacje bezpieczeństwa mnożą się.

Rozszerzająca się powierzchnia ataku: Integracja specjalistycznego sprzętu, takiego jak NPU, zasadniczo zwiększa powierzchnię ataku systemu. Każdy nowy komponent sprzętowy wiąże się z własnym zestawem sterowników, oprogramowania układowego i oprogramowania zarządzającego, z których wszystkie mogą potencjalnie zawierać luki możliwe do wykorzystania. Luki w sterowniku NPU bezpośrednio demonstrują to ryzyko.

Złożoność rodzi błędy: Nowoczesne procesory i towarzyszące im oprogramowanie są niezwykle złożone. Skomplikowane interakcje między CPU, NPU, systemem operacyjnym, sterownikami i aplikacjami tworzą niezliczone możliwości wkradania się subtelnych błędów – takich jak przepełnienia całkowitoliczbowe czy nieprawidłowe ustawienia uprawnień – podczas rozwoju. Dokładne audyty bezpieczeństwa i testowanie są niezbędne, ale trudne do wyczerpującego przeprowadzenia.

Znaczenie warstwy oprogramowania: Chociaż akceleracja sprzętowa jest kluczowa, to oprogramowanie (sterowniki i SDK) czyni ją użyteczną i dostępną. Wady w tej warstwie oprogramowania mogą całkowicie podważyć bezpieczeństwo podstawowego sprzętu, nawet jeśli sam krzem jest solidny. Luka w SDK (CVE-2025-0014) podkreśla, jak nawet narzędzia używane do budowania aplikacji AI mogą stać się wektorami kompromitacji, jeśli nie są odpowiednio zabezpieczone.

Ryzyka łańcucha dostaw: Dla deweloperów luka w SDK wprowadza formę ryzyka łańcucha dostaw. Jeśli narzędzia, na których polegają, są skompromitowane, oprogramowanie, które produkują, może nieumyślnie zawierać złośliwe oprogramowanie lub backdoory, wpływając na ich własnych klientów. Podkreśla to potrzebę zapewnienia przez deweloperów bezpieczeństwa ich środowisk programistycznych i łańcuchów narzędzi.

Imperatyw łatania: Odkrycie tych wad podkreśla również ciągłą potrzebę solidnych procesów ujawniania luk i łatania ze strony dostawców sprzętu. Terminowa reakcja AMD w postaci przyznania się do problemów i dostarczenia aktualizacji jest kluczowa. Jednakże, obowiązek spoczywa następnie na użytkownikach i deweloperach, aby starannie zastosować te poprawki. Skuteczność każdej poprawki bezpieczeństwa zależy całkowicie od wskaźnika jej przyjęcia. Niezłatane systemy pozostają łatwym celem dla atakujących świadomych opublikowanych luk.

W miarę jak AI staje się coraz głębiej zintegrowana z naszymi doświadczeniami komputerowymi, bezpieczeństwo podstawowych komponentów – zarówno sprzętowych, jak i programowych – stanie się coraz bardziej krytyczne. Incydenty takie jak ten służą jako mocne przypomnienie, że innowacje muszą iść w parze z rygorystyczną inżynierią bezpieczeństwa oraz zaangażowaniem w ciągłą konserwację i łatanie. Użytkownicy korzystają z mocy Ryzen AI, ale ta korzyść opiera się na fundamencie zaufania, że technologia jest nie tylko potężna, ale także bezpieczna. Utrzymanie tego zaufania wymaga czujności ze strony dostawców, deweloperów i użytkowników końcowych. Szybkie zastosowanie dostarczonych przez AMD aktualizacji jest niezbędnym pierwszym krokiem we wzmacnianiu tego fundamentu przeciwko tym konkretnym zagrożeniom.