Уязвимости ПО AMD Ryzen AI: высокий риск

Неустанное развитие искусственного интеллекта побуждает производителей оборудования встраивать специализированные вычислительные возможности непосредственно в свои чипы. Advanced Micro Devices (AMD), крупный игрок в полупроводниковой индустрии, последовала этому тренду, оснащая свои новые поколения процессоров выделенными ИИ-ускорителями, продвигаемыми под брендом ‘Ryzen AI’. Эти Neural Processing Units (NPUs) обещают значительно повысить производительность задач, связанных с ИИ, от улучшения видеозвонков до ускорения творческих процессов. Однако сложная программная экосистема, необходимая для использования этой мощи, стала новым рубежом для проблем безопасности. Недавние раскрытия информации показывают, что драйверы и комплекты разработки программного обеспечения (SDK), лежащие в основе Ryzen AI, содержат критические уязвимости безопасности, потенциально подвергая пользователей и разработчиков значительным рискам. AMD признала эти проблемы и выпустила исправления, призывая затронутые стороны к незамедлительным действиям.

Разбор проблем безопасности Ryzen AI

Интеграция специализированного оборудования, такого как NPUs, усложняет не только проектирование, но и программные слои, управляющие ими. Драйверы выступают в качестве критически важного интерфейса между операционной системой и оборудованием, в то время как SDK предоставляют разработчикам инструменты для создания приложений, использующих возможности оборудования. Уязвимости в любом из этих компонентов могут иметь серьезные последствия. Недавний бюллетень безопасности AMD освещает множество уязвимостей высокого риска, затрагивающих экосистему Ryzen AI, требуя немедленного внимания как от конечных пользователей, чьи системы включают эти чипы, так и от разработчиков, создающих следующее поколение приложений на базе ИИ.

Компания выявила в общей сложности четыре отдельные уязвимости. Три из них находятся в самом драйвере NPU, программном компоненте, непосредственно отвечающем за управление ИИ-сопроцессором. Четвертая уязвимость затрагивает Ryzen AI Software SDK, создавая риск для разработчиков, использующих инструменты AMD. Потенциальное воздействие варьируется от несанкционированного раскрытия информации и повреждения данных до полного компрометирования системы через произвольное выполнение кода, что подчеркивает серьезность обнаруженных проблем. Это не мелкие ошибки; они представляют собой значительные трещины в фундаменте стратегии AMD по ИИ на устройствах, требующие тщательного устранения.

Переполнения целых чисел преследуют драйвер NPU

В основе проблем на уровне драйверов лежат три отдельные уязвимости переполнения целых чисел. Переполнение целого числа — это классический, но постоянно опасный тип программной ошибки. Он возникает, когда арифметическая операция пытается создать числовое значение, превышающее выделенную для него емкость хранения. Представьте, что вы пытаетесь налить пять литров воды в четырехлитровую емкость — излишек переливается. В терминах программного обеспечения этот ‘перелив’ может перезаписать соседние ячейки памяти, которые не предназначались для изменения.

Злоумышленники часто могут стратегически использовать это состояние переполнения. Тщательно подготавливая входные данные, вызывающие переполнение, они могут записать вредоносный код или данные в непредназначенные области памяти. В случае успеха это может перезаписать критически важные инструкции программы или структуры данных, потенциально захватив поток выполнения программы. В контексте драйвера оборудования, который часто работает с высокими привилегиями в операционной системе, такой эксплойт может быть разрушительным.

AMD каталогизировала эти три уязвимости драйвера NPU следующим образом:

• CVE-2024-36336: Классифицирована AMD с оценкой CVSS 7.9, что указывает на ‘Высокую’ серьезность. Конкретный механизм включает переполнение целого числа, которое может привести к записи данных за пределы назначенного буфера памяти.
• CVE-2024-36337: Также оценена CVSS 7.9 (‘Высокая’), эта уязвимость представляет собой аналогичный сценарий переполнения целого числа, снова рискуя записью за пределы выделенной памяти.
• CVE-2024-36328: Эта уязвимость имеет оценку CVSS 7.3, все еще классифицируемую как ‘Высокая’ серьезность. Как и другие, она проистекает из состояния переполнения целого числа в драйвере NPU.

Хотя официальное описание AMD осторожно суммирует потенциальное воздействие этих уязвимостей как ‘потерю конфиденциальности, целостности или доступности’, техническая природа переполнений целых чисел в привилегированных драйверах настоятельно предполагает возможность произвольного выполнения кода. Злоумышленник, успешно эксплуатирующий одну из этих уязвимостей, потенциально может получить глубокий доступ к системе, обойти меры безопасности, установить вредоносное ПО, украсть конфиденциальную информацию или полностью нарушить работу системы. ‘Высокие’ оценки серьезности отражают этот потенциал значительного вреда. Получение контроля над драйвером NPU теоретически может позволить злоумышленнику манипулировать операциями ИИ, компрометировать локально работающие модели ИИ или использовать привилегии драйвера как ступеньку для получения более широкого контроля над системой.

Проблема заключается в том, как эти уязвимости могут быть вызваны. Обычно уязвимости драйверов требуют, чтобы злоумышленник имел некоторый уровень локального доступа или возможность запускать определенное программное обеспечение, взаимодействующее с уязвимым компонентом драйвера. Это может произойти через вредоносное ПО, уже присутствующее в системе, или потенциально через специально созданные входные данные, обрабатываемые приложениями, использующими оборудование Ryzen AI. Независимо от конкретного вектора атаки, потенциал для эксплуатации требует немедленного исправления.

Риск повышения привилегий в Ryzen AI SDK

Помимо драйвера, ориентированного на конечного пользователя, AMD также выявила критическую уязвимость в комплекте разработки программного обеспечения RyzenAI Software Software Development Kit (SDK). SDK являются важными наборами инструментов для разработчиков программного обеспечения, предоставляя библиотеки, примеры кода и утилиты, необходимые для создания приложений для конкретной платформы или аппаратной функции. В данном случае Ryzen AI Software SDK позволяет разработчикам интегрировать возможности Ryzen AI в свои собственные программы.

Обнаруженная здесь уязвимость, отслеживаемая как CVE-2025-0014 (примечание: обозначение года CVE необычно, обычно отражает год сообщения/обнаружения; это может быть опечаткой в отчете, но приводится здесь так, как официально обозначено), принципиально отличается от переполнений в драйвере. Она касается некорректных разрешений по умолчанию, установленных в процессе установки SDK. Эта уязвимость также оценена CVSS 7.3 (‘Высокая’).

Правильные разрешения файловой системы являются краеугольным камнем безопасности операционной системы. Они определяют, какие пользователи или процессы имеют права на чтение, запись или выполнение файлов и каталогов. Когда устанавливается программное обеспечение, особенно компоненты, которые могут работать с повышенными привилегиями или обрабатывать конфиденциальные операции, крайне важно, чтобы каталог установки и его содержимое были защищены соответствующими разрешениями. Неправильно установленные слишком разрешительные настройки могут создать опасные лазейки.

В случае CVE-2025-0014 путь установки для программных компонентов Ryzen AI, по-видимому, получает разрешения по умолчанию, которые являются слишком слабыми. Это может позволить злоумышленнику с низкими привилегиями, уже присутствующему на машине разработчика, изменять или заменять критически важные файлы в каталоге установки SDK. Если разработчик затем использует скомпрометированные компоненты SDK для сборки или запуска своего ИИ-приложения, измененный код злоумышленника может быть выполнен, потенциально с привилегиями разработчика или самого приложения.

Это представляет собой атаку повышения привилегий. Злоумышленник начинает с ограниченного доступа, но использует уязвимость разрешений для получения контроля более высокого уровня, эффективно выполняя произвольный код в более привилегированном контексте. Для разработчиков, работающих над конфиденциальными проектами ИИ, такая компрометация может привести к краже интеллектуальной собственности, внедрению бэкдоров в разрабатываемое программное обеспечение или использованию машины разработчика в качестве плацдарма для дальнейших атак в сети. Воздействие выходит за рамки отдельного разработчика, потенциально затрагивая конечных пользователей программного обеспечения, созданного с помощью скомпрометированного SDK.

Защита вашей системы: Путь исправления от AMD

Признавая серьезность этих уязвимостей, AMD приняла меры для предоставления исправлений. Обновленные версии как драйвера NPU, так и Ryzen AI Software SDK теперь доступны и предназначены для закрытия этих брешей в безопасности. Пользователям и разработчикам, использующим технологию Ryzen AI, настоятельно рекомендуется установить эти обновления без промедления.

Получение исправлений:

Необходимые обновления можно найти на официальном веб-сайте программного обеспечения AMD Ryzen AI. Доступ к этим ресурсам обычно включает несколько шагов:

1. Учетная запись AMD: Пользователям, вероятно, потребуется войти в существующую учетную запись AMD или создать новую. Это стандартная практика для поставщиков, распространяющих специализированное программное обеспечение и драйверы.
2. Лицензионное соглашение: Для обновления драйвера NPU пользователям также может потребоваться ознакомиться и принять лицензионное соглашение перед загрузкой. Оно определяет условия использования программного обеспечения.
3. Подтверждение формы: Загрузка обновления Ryzen AI Software SDK может потребовать подтверждения данных через форму, вероятно, связанную с участием в программе для разработчиков или соблюдением экспортных норм.

Обновление драйвера NPU:

Для конечных пользователей с системами, оснащенными возможностями Ryzen AI, обновление драйвера NPU является критически важным шагом. Процесс обычно включает:

1. Загрузка: Получите обновленный пакет драйверов с веб-сайта AMD Ryzen AI.
2. Извлечение: Загруженный файл обычно представляет собой архив (например, ZIP-файл). Вам нужно будет извлечь его содержимое в известное место на вашем жестком диске.
3. Установка (Командная строка от имени администратора): Установка может не быть простым запуском исполняемого файла двойным щелчком. Руководство AMD предлагает использовать командную строку от имени администратора. Это включает открытие командной строки с правами администратора (например, щелкнув правой кнопкой мыши значок командной строки и выбрав ‘Запуск от имени администратора’) и переход в каталог, куда вы извлекли файлы драйвера. Вероятно, в инструкциях AMD будет указана конкретная команда или скрипт (например, файл .bat или .inf), который необходимо выполнить для установки драйвера. Здесь крайне важно следовать конкретным инструкциям AMD для загруженного пакета.

Проверка обновления драйвера:

После попытки установки необходимо убедиться, что активна новая, безопасная версия драйвера. Обычно это можно сделать через Диспетчер устройств Windows (Windows Device Manager):

1. Откройте Диспетчер устройств (вы можете найти его в строке поиска Windows).
2. Найдите соответствующее аппаратное устройство, связанное с Ryzen AI или NPU. Оно может быть указано в категориях, таких как ‘Системные устройства’, ‘Процессоры’ или в специальной категории ИИ-ускорителей.
3. Щелкните правой кнопкой мыши по устройству и выберите ‘Свойства’.
4. Перейдите на вкладку ‘Драйвер’.
5. Проверьте поле ‘Версия драйвера’. Согласно информации, связанной с исправлением, пользователи должны искать версию 32.0.203.257 или новее. Связанная дата драйвера, упомянутая в некоторых отчетах (12.03.2025), кажется аномальной и может быть опечаткой или относиться к конкретному идентификатору сборки; номер версии является наиболее надежным индикатором исправленного программного обеспечения. Если Диспетчер устройств показывает эту версию или более высокую, обновление прошло успешно.

Обновление Ryzen AI Software SDK:

Для разработчиков программного обеспечения, использующих SDK, процесс включает загрузку и установку последней версии:

1. Загрузка: Получите доступ к веб-сайту AMD Ryzen AI (требуется вход в систему и, возможно, подтверждение формы) для загрузки обновленного SDK. Исправленная версия идентифицируется как Ryzen AI Software 1.4.0 или новее. Будьте готовы к значительной загрузке, так как установочный пакет, как отмечается, составляет около 3.4 ГБ.
2. Установка: Запустите загруженный установочный пакет. Он должен перезаписать предыдущую установку или провести вас через процесс обновления, гарантируя применение исправленных разрешений файлов (устранение CVE-2025-0014) и любых других обновлений.

Учитывая ‘Высокие’ оценки серьезности для всех выявленных уязвимостей, своевременное исправление имеет первостепенное значение. Откладывание этих обновлений оставляет системы и среды разработки уязвимыми для потенциальной эксплуатации.

Более широкий контекст: Оборудование ИИ и безопасность

Эти уязвимости в программном обеспечении AMD Ryzen AI подчеркивают растущую проблему в технологической индустрии: обеспечение безопасности все более сложных аппаратных и программных экосистем, питающих искусственный интеллект. По мере того как рабочие нагрузки ИИ перемещаются из облака на периферийные устройства и персональные компьютеры — так называемый ‘ИИ на устройстве’ (on-device AI) — последствия для безопасности умножаются.

Расширение поверхности атаки: Интеграция специализированного оборудования, такого как NPUs, фундаментально увеличивает поверхность атаки системы. Каждый новый аппаратный компонент поставляется со своим набором драйверов, прошивок и управляющего программного обеспечения, все из которых потенциально могут содержать эксплуатируемые уязвимости. Уязвимости драйвера NPU демонстрируют этот риск напрямую.

Сложность порождает ошибки: Современные процессоры и сопутствующее им программное обеспечение чрезвычайно сложны. Запутанные взаимодействия между CPU, NPU, операционной системой, драйверами и приложениями создают бесчисленные возможности для проникновения тонких ошибок — таких как переполнения целых чисел или неправильные настройки разрешений — во время разработки. Тщательный аудит безопасности и тестирование жизненно важны, но их исчерпывающее проведение затруднительно.

Важность программного слоя: Хотя аппаратное ускорение является ключевым, именно программное обеспечение (драйверы и SDK) делает его используемым и доступным. Уязвимости в этом программном слое могут полностью подорвать безопасность базового оборудования, даже если сам чип надежен. Уязвимость SDK (CVE-2025-0014) подчеркивает, как даже инструменты, используемые для создания ИИ-приложений, могут стать векторами компрометации, если они не защищены должным образом.

Риски цепочки поставок: Для разработчиков уязвимость SDK вводит форму риска цепочки поставок (supply chain risk). Если инструменты, на которые они полагаются, скомпрометированы, производимое ими программное обеспечение может непреднамеренно содержать вредоносное ПО или бэкдоры, затрагивая их собственных клиентов. Это подчеркивает необходимость для разработчиков обеспечивать безопасность своих сред разработки и инструментальных цепочек.

Императив исправления: Обнаружение этих уязвимостей также подчеркивает постоянную потребность в надежных процессах раскрытия уязвимостей и исправления со стороны поставщиков оборудования. Своевременный ответ AMD в признании проблем и предоставлении обновлений имеет решающее значение. Однако затем бремя ложится на пользователей и разработчиков, которые должны усердно применять эти исправления. Эффективность любого исправления безопасности полностью зависит от скорости его внедрения. Неисправленные системы остаются легкой добычей для злоумышленников, осведомленных об опубликованных уязвимостях.

По мере того как ИИ все глубже интегрируется в наш вычислительный опыт, безопасность базовых компонентов — как аппаратных, так и программных — будет становиться все более критичной. Подобные инциденты служат мощным напоминанием о том, что инновации должны идти рука об руку со строгой инженерией безопасности и приверженностью постоянному обслуживанию и исправлению. Пользователи выигрывают от мощи Ryzen AI, но эта выгода опирается на фундамент доверия к тому, что технология не только мощная, но и безопасная. Поддержание этого доверия требует бдительности от поставщиков, разработчиков и конечных пользователей. Быстрое применение предоставленных AMD обновлений является необходимым первым шагом в укреплении этого фундамента против этих конкретных угроз.