人工智能的迅猛发展促使硬件制造商将专门的处理能力直接嵌入其芯片中。半导体行业巨头 Advanced Micro Devices (AMD) 顺应了这一趋势,为其新一代处理器配备了专用的 AI 加速器,并以 ‘Ryzen AI’ 品牌进行营销。这些 Neural Processing Units (NPUs) 有望显著提升 AI 驱动任务的性能,从增强视频通话到加速创意工作流程。然而,驾驭这种能力所需的复杂软件生态系统已成为安全挑战的新前沿。最近披露的信息显示,支撑 Ryzen AI 的驱动程序和软件开发工具包 (SDKs) 存在严重的安全缺陷,可能使用户和开发者面临重大风险。AMD 已承认这些问题并发布了补丁,敦促受影响方迅速采取行动。
剖析 Ryzen AI 安全隐患
集成像 NPUs 这样的专用硬件不仅在设计上增加了复杂性,在其管理软件层面上也是如此。驱动程序是操作系统和硬件之间的关键接口,而 SDKs 则为开发者提供了构建利用硬件能力应用程序的工具。这两者中的任何一个存在漏洞都可能导致严重后果。AMD 最近的安全公告强调了影响 Ryzen AI 生态系统的多个高风险缺陷,要求采用这些芯片的最终用户系统以及构建下一代 AI 驱动应用程序的开发者立即予以关注。
该公司共识别出四个不同的漏洞。其中三个位于 NPU 驱动程序本身,即直接负责管理 AI 协处理器的软件组件。第四个漏洞影响 Ryzen AI Software SDK,对使用 AMD 工具的开发者构成风险。潜在影响范围从未经授权的信息泄露和数据损坏,到通过任意代码执行完全控制系统,凸显了这些发现的严重性。这些并非小错误;它们代表了 AMD 设备端 AI 策略基础上的重大裂痕,需要仔细修复。
整数溢出困扰 NPU 驱动程序
驱动程序层面问题的核心是三个独立的整数溢出漏洞。整数溢出是一种典型但持续存在的危险软件错误类型。当算术运算试图创建一个超出为其分配的存储容量的数值时,就会发生这种情况。想象一下试图将五升水倒入一个四升的罐子——多余的水会溢出。在软件术语中,这种’溢出’可能会覆盖不应被修改的相邻内存位置。
攻击者通常可以策略性地利用这种溢出条件。通过精心构造触发溢出的输入数据,他们或许能够将恶意代码或数据写入非预期的内存区域。如果成功,这可能会覆盖关键的程序指令或数据结构,从而可能劫持程序的执行流程。在硬件驱动程序的上下文中,由于驱动程序通常在操作系统内以高权限运行,这样的利用可能是毁灭性的。
AMD 将这三个 NPU 驱动程序漏洞分类如下:
- CVE-2024-36336: 被 AMD 评定为 CVSS 7.9 分,表明为’高’严重性。具体机制涉及一个整数溢出,可能导致在指定内存缓冲区之外写入数据。
- CVE-2024-36337: 同样被评定为 CVSS 7.9 (‘高’),此漏洞呈现类似的整数溢出情况,同样存在越界内存写入的风险。
- CVE-2024-36328: 此缺陷的 CVSS 评分为 7.3,仍被归类为’高’严重性。与其他漏洞一样,它源于 NPU 驱动程序内的整数溢出条件。
虽然 AMD 的官方描述谨慎地将这些缺陷的潜在影响概括为’机密性、完整性或可用性的丧失’,但特权驱动程序中整数溢出的技术性质强烈暗示了任意代码执行的可能性。成功利用这些漏洞之一的攻击者可能获得深层系统访问权限,绕过安全措施,安装恶意软件,窃取敏感信息,或完全中断系统操作。’高’严重性评级反映了这种造成重大损害的可能性。理论上,控制 NPU 驱动程序可能允许攻击者操纵 AI 操作,危及本地运行的 AI 模型,或利用驱动程序的权限作为跳板来获取更广泛的系统控制权。
挑战在于这些漏洞可能如何被触发。通常,驱动程序漏洞需要攻击者具有某种程度的本地访问权限,或者能够运行与有缺陷的驱动程序组件交互的特定软件。这可能通过系统上已存在的恶意软件实现,或者可能通过由使用 Ryzen AI 硬件的应用程序处理的特制数据输入来实现。无论具体的攻击途径如何,利用的可能性都要求立即打补丁。
Ryzen AI SDK 中的权限提升风险
除了面向最终用户的驱动程序外,AMD 还在 Ryzen AI Software Software Development Kit (SDK) 中发现了一个关键漏洞。SDKs 是软件开发者的基本工具包,提供为特定平台或硬件功能构建应用程序所需的库、代码示例和实用程序。在这种情况下,Ryzen AI Software SDK 使开发者能够将 Ryzen AI 功能集成到他们自己的程序中。
这里发现的漏洞,追踪编号为 CVE-2025-0014 (注意:CVE 年份指定不寻常,通常反映报告/发现的年份;这可能是报告中的印刷错误,但此处按官方指定列出),与驱动程序溢出根本不同。它涉及 SDK 安装过程中设置的不正确的默认权限。此缺陷也被评定为 CVSS 7.3 (‘高’)。
正确的文件系统权限是操作系统安全的基石。它们规定了哪些用户或进程有权读取、写入或执行文件和目录。安装软件时,特别是那些可能以提升权限运行或处理敏感操作的组件,确保安装目录及其内容受到适当权限的保护至关重要。不正确的宽松设置可能造成危险的漏洞。
就 CVE-2025-0014 而言,Ryzen AI 软件组件的安装路径显然获得了过于宽松的默认权限。这可能允许已存在于开发者机器上的低权限攻击者修改或替换 SDK 安装目录中的关键文件。如果开发者随后使用受损的 SDK 组件来构建或运行其 AI 应用程序,攻击者修改后的代码可能会被执行,且可能具有开发者或应用程序本身的权限。
这构成了一种权限提升攻击。攻击者从有限的访问权限开始,利用权限缺陷获得更高级别的控制,有效地在更特权的上下文中执行任意代码。对于从事敏感 AI 项目的开发者来说,这样的妥协可能导致知识产权盗窃、在开发的软件中植入后门,或将开发者的机器用作在网络内发动进一步攻击的跳板。其影响超出了单个开发者,可能影响使用受损 SDK 创建的软件的下游用户。
保护您的系统:AMD 的修复路径
认识到这些漏洞的严重性,AMD 已采取行动提供修复程序。NPU 驱动程序和 Ryzen AI Software SDK 的更新版本现已可用,旨在弥补这些安全漏洞。强烈建议使用 Ryzen AI 技术的用户和开发者立即安装这些更新。
获取补丁:
必要的更新可以在 AMD 官方 Ryzen AI 软件网站上找到。访问这些资源通常涉及几个步骤:
- AMD 账户: 用户可能需要使用现有的 AMD 账户登录或创建一个新账户。这是供应商分发专用软件和驱动程序的标准做法。
- 许可协议: 对于 NPU 驱动程序更新,用户在继续下载之前可能还需要查看并接受许可协议。这概述了软件的使用条款。
- 表单确认: 下载 Ryzen AI Software SDK 更新可能需要通过表单确认详细信息,这可能与开发者计划参与或出口合规性有关。
更新 NPU 驱动程序:
对于拥有配备 Ryzen AI 功能系统的最终用户来说,更新 NPU 驱动程序是关键步骤。该过程通常包括:
- 下载: 从 AMD Ryzen AI 网站获取更新的驱动程序包。
- 解压: 下载的文件通常是一个存档文件(如 ZIP 文件)。您需要将其内容解压到硬盘上的已知位置。
- 安装(管理员命令提示符): 安装可能不是简单的双击可执行文件。AMD 的指南建议使用管理员命令提示符。这涉及以管理员权限打开命令提示符(例如,右键单击命令提示符图标并选择’以管理员身份运行’),然后导航到您解压驱动程序文件的目录。AMD 的说明中可能会提到需要执行的特定命令或脚本(例如,
.bat或.inf文件)来安装驱动程序。在此,遵循 AMD 针对下载包的具体说明至关重要。
验证驱动程序更新:
尝试安装后,必须确认新的、安全的驱动程序版本已激活。这通常可以通过 Windows Device Manager 完成:
- 打开 Device Manager(您可以在 Windows 搜索栏中搜索它)。
- 找到与 Ryzen AI 或 NPU 相关的硬件设备。这可能列在’系统设备’、’处理器’或专门的 AI 加速器类别下。
- 右键单击该设备并选择’属性’。
- 导航到’驱动程序’选项卡。
- 检查’驱动程序版本’字段。根据与补丁相关的信息,用户应查找版本 32.0.203.257 或更新版本。某些报告中提到的相关驱动程序日期(12.03.2025)似乎异常,可能是印刷错误或与特定构建标识符有关;版本号是已打补丁软件最可靠的指标。如果 Device Manager 显示此版本或更高版本,则更新成功。
更新 Ryzen AI Software SDK:
对于使用 SDK 的软件开发者,该过程涉及下载并安装最新版本:
- 下载: 访问 AMD Ryzen AI 网站(需要登录并可能需要表单确认)以下载更新的 SDK。已打补丁的版本被标识为 Ryzen AI Software 1.4.0 或更新版本。请准备好进行大量下载,因为安装包据称约为 3.4 GB。
- 安装: 运行下载的安装程序包。它应该会覆盖以前的安装或引导您完成升级过程,确保应用了修正的文件权限(解决 CVE-2025-0014)和任何其他更新。
鉴于所有已识别漏洞的’高’严重性评级,及时打补丁至关重要。延迟这些更新会使系统和开发环境暴露于潜在的利用风险中。
更广阔的背景:AI 硬件与安全
AMD Ryzen AI 软件中的这些漏洞凸显了科技行业一个日益严峻的挑战:保护驱动人工智能的日益复杂的硬件和软件生态系统。随着 AI 工作负载从云端转移到边缘设备和个人计算机——即所谓的’设备端 AI’——安全影响成倍增加。
扩大的攻击面: 集成像 NPUs 这样的专用硬件从根本上增加了系统的攻击面。每个新的硬件组件都带有自己的一套驱动程序、固件和管理软件,所有这些都可能包含可利用的缺陷。NPU 驱动程序漏洞直接证明了这种风险。
复杂性滋生错误: 现代处理器及其配套软件极其复杂。CPU、NPU、操作系统、驱动程序和应用程序之间错综复杂的交互为开发过程中潜入细微错误——如整数溢出或不正确的权限设置——创造了无数机会。彻底的安全审计和测试至关重要,但难以详尽执行。
软件层的重要性: 虽然硬件加速是关键,但软件(驱动程序和 SDKs)才是使其可用和可访问的要素。该软件层中的缺陷可能完全破坏底层硬件的安全性,即使芯片本身是健全的。SDK 漏洞 (CVE-2025-0014) 突显了即使是用于构建 AI 应用程序的工具,如果未能妥善保护,也可能成为妥协的载体。
供应链风险: 对开发者而言,SDK 漏洞引入了一种形式的供应链风险。如果他们依赖的工具被攻破,他们生产的软件可能会无意中包含恶意软件或后门,从而影响他们自己的客户。这强调了开发者确保其开发环境和工具链安全的必要性。
打补丁的必要性: 这些缺陷的发现也凸显了硬件供应商持续进行稳健的漏洞披露和补丁发布流程的必要性。AMD 及时响应,承认问题并提供更新至关重要。然而,责任随后落在用户和开发者身上,需要他们勤勉地应用这些补丁。任何安全修复的有效性完全取决于其采用率。未打补丁的系统对于知晓已公布漏洞的攻击者来说仍然是唾手可得的目标。
随着 AI 更深入地融入我们的计算体验,底层组件——无论是硬件还是软件——的安全性将变得越来越关键。此类事件有力地提醒我们,创新必须与严格的安全工程以及对持续维护和打补丁的承诺齐头并进。用户受益于 Ryzen AI 的强大功能,但这种益处依赖于对该技术不仅强大而且安全的信任基础。维护这种信任需要供应商、开发者和最终用户共同保持警惕。迅速应用 AMD 提供的更新是针对这些特定威胁加固该基础的必要第一步。