人工智能的持續發展促使硬體製造商將專門的處理能力直接嵌入其晶片中。半導體行業的主要參與者 Advanced Micro Devices (AMD) 順應了這一趨勢,為其新一代處理器配備了專用的 AI 加速器,以 ‘Ryzen AI’ 品牌進行行銷。這些神經處理單元 (Neural Processing Units, NPUs) 承諾顯著提升 AI 驅動任務的效能,從增強視訊通話到加速創意工作流程。然而,駕馭這種能力所需的複雜軟體生態系統已成為安全挑戰的新前線。最近披露的資訊顯示,支撐 Ryzen AI 的驅動程式和軟體開發套件 (Software Development Kits, SDKs) 存在嚴重的安全缺陷,可能使用戶和開發者面臨重大風險。AMD 已承認這些問題並發布了修補程式,敦促受影響方迅速採取行動。
剖析 Ryzen AI 的安全疑慮
整合像 NPU 這樣的專用硬體不僅在設計上引入了複雜性,在管理它們的軟體層面上也是如此。驅動程式是作業系統和硬體之間的關鍵介面,而 SDK 則為開發者提供了利用硬體功能建構應用程式的工具。任何一方的漏洞都可能產生嚴重後果。AMD 最近的安全公告強調了影響 Ryzen AI 生態系統的多個高風險缺陷,要求採用這些晶片的終端用戶系統以及建構下一代 AI 驅動應用程式的開發者立即關注。
該公司共識別出四個不同的漏洞。其中三個存在於 NPU 驅動程式本身,即直接負責管理 AI 協同處理器的軟體元件。第四個漏洞影響 Ryzen AI Software SDK,對使用 AMD 工具的開發者構成風險。潛在影響範圍從未經授權的資訊洩露和資料損壞,到透過任意程式碼執行導致的完全系統入侵,突顯了這些發現的嚴重性。這些並非小錯誤;它們代表了 AMD 裝置上 AI 策略基礎上的重大裂痕,需要謹慎修復。
整數溢位困擾 NPU 驅動程式
驅動程式層級問題的核心是三個獨立的整數溢位 (integer overflow) 漏洞。整數溢位是一種典型但持續存在的危險軟體錯誤。當算術運算試圖創建一個超出為其分配的儲存容量的數值時,就會發生這種情況。想像一下試圖將五公升的水倒入一個四公升的水壺——多餘的水會溢出來。在軟體術語中,這種 ‘溢出’ 可能會覆寫不應被修改的相鄰記憶體位置。
攻擊者通常可以策略性地利用這種溢位條件。透過精心製作觸發溢位的輸入資料,他們或許能夠將惡意程式碼或資料寫入非預期的記憶體區域。如果成功,這可能會覆寫關鍵的程式指令或資料結構,從而可能劫持程式的執行流程。在硬體驅動程式的背景下,由於驅動程式通常在作業系統內以高權限運行,這樣的利用可能是毀滅性的。
AMD 將這三個 NPU 驅動程式漏洞分類如下:
- CVE-2024-36336: AMD 將其 CVSS 評分定為 7.9,表示 ‘高’ (High) 嚴重性。具體機制涉及一個可能導致在指定記憶體緩衝區之外寫入資料的整數溢位。
- CVE-2024-36337: 同樣被評為 CVSS 7.9 (‘高’),此漏洞呈現類似的整數溢位情況,同樣存在記憶體越界寫入的風險。
- CVE-2024-36328: 此缺陷的 CVSS 評分為 7.3,仍被歸類為 ‘高’ 嚴重性。與其他漏洞一樣,它源於 NPU 驅動程式內的整數溢位條件。
雖然 AMD 的官方描述謹慎地將這些缺陷的潛在影響總結為 ‘機密性、完整性或可用性的喪失’,但特權驅動程式中整數溢位的技術性質強烈暗示了任意程式碼執行的可能性。成功利用其中一個漏洞的攻擊者可能獲得深層系統存取權限,繞過安全措施,安裝惡意軟體,竊取敏感資訊,或完全中斷系統運作。’高’ 嚴重性評級反映了這種造成重大損害的可能性。理論上,控制 NPU 驅動程式可能允許攻擊者操縱 AI 操作,危害本地運行的 AI 模型,或利用驅動程式的權限作為跳板來獲取更廣泛的系統控制權。
挑戰在於這些漏洞可能如何被觸發。通常,驅動程式漏洞需要攻擊者具有一定程度的本地存取權限,或者能夠運行與有缺陷的驅動程式元件互動的特定軟體。這可能透過系統上已存在的惡意軟體,或者潛在地透過由使用 Ryzen AI 硬體的應用程式處理的特製資料輸入來實現。無論具體的攻擊途徑如何,利用的可能性都值得立即修補。
Ryzen AI SDK 中的權限提升風險
除了面向終端用戶的驅動程式之外,AMD 還在 Ryzen AI Software Software Development Kit (SDK) 中發現了一個關鍵漏洞。SDK 是軟體開發者的基本工具包,提供為特定平台或硬體功能建構應用程式所需的函式庫、程式碼範例和實用程式。在這種情況下,Ryzen AI Software SDK 使開發者能夠將 Ryzen AI 功能整合到他們自己的程式中。
這裡發現的漏洞,追蹤為 CVE-2025-0014 (註:CVE 年份標示不尋常,通常反映報告/發現的年份;這可能是報告中的印刷錯誤,但此處按官方指定列出),與驅動程式溢位根本不同。它涉及在 SDK 安裝過程中設定的 不正確的預設權限。此缺陷也被評為 CVSS 7.3 (‘高’)。
正確的檔案系統權限是作業系統安全的基石。它們規定了哪些用戶或進程有權讀取、寫入或執行檔案和目錄。安裝軟體時,特別是那些可能以提升權限運行或處理敏感操作的元件,至關重要的是安裝目錄及其內容受到適當權限的保護。不正確的寬鬆設定可能產生危險的漏洞。
就 CVE-2025-0014 而言,Ryzen AI 軟體元件的安裝路徑顯然獲得了過於寬鬆的預設權限。這可能允許已存在於開發者機器上的低權限攻擊者修改或替換 SDK 安裝目錄中的關鍵檔案。如果開發者隨後使用受損的 SDK 元件來建構或運行他們的 AI 應用程式,攻擊者修改後的程式碼就可能被執行,且可能具有開發者或應用程式本身的權限。
這構成了一種 權限提升 (privilege escalation) 攻擊。攻擊者從有限的存取權限開始,但利用權限缺陷來獲得更高級別的控制,有效地在更具特權的上下文中執行任意程式碼。對於從事敏感 AI 專案的開發者來說,這樣的入侵可能導致知識產權盜竊、在開發的軟體中插入後門,或利用開發者的機器作為在網路內發動進一步攻擊的跳板。其影響超出了個別開發者,可能影響使用受損 SDK 創建的軟體的下游用戶。
保護您的系統:AMD 的補救途徑
認識到這些漏洞的嚴重性,AMD 已採取行動提供修復程式。更新版本的 NPU 驅動程式和 Ryzen AI Software SDK 現已可用,旨在彌補這些安全漏洞。強烈建議使用 Ryzen AI 技術的用戶和開發者立即安裝這些更新。
獲取修補程式:
必要的更新可以在 AMD 的官方 Ryzen AI software website 上找到。存取這些資源通常涉及幾個步驟:
- AMD 帳戶: 用戶可能需要使用現有的 AMD 帳戶登錄或創建一個新帳戶。這是供應商分發專用軟體和驅動程式的標準做法。
- 授權協議: 對於 NPU 驅動程式更新,用戶在繼續下載之前可能還需要查看並接受授權協議。這概述了軟體的使用條款。
- 表單確認: 下載 Ryzen AI Software SDK 更新可能需要透過表單確認詳細資訊,這可能與開發者計劃參與或出口合規性有關。
更新 NPU 驅動程式:
對於擁有具備 Ryzen AI 功能系統的終端用戶來說,更新 NPU 驅動程式是關鍵步驟。該過程通常涉及:
- 下載: 從 AMD Ryzen AI 網站獲取更新的驅動程式包。
- 解壓縮: 下載的檔案通常是一個壓縮檔(如 ZIP 檔)。您需要將其內容解壓縮到硬碟上的已知位置。
- 安裝(管理員命令提示字元): 安裝可能不是簡單的雙擊可執行檔。AMD 的指南建議使用管理員命令提示字元。這涉及以管理員權限打開命令提示字元(例如,右鍵單擊命令提示字元圖標並選擇 ‘以系統管理員身分執行’),然後導航到您解壓縮驅動程式檔案的目錄。AMD 的說明中可能會提到需要執行的特定命令或腳本(例如,
.bat或.inf檔案)來安裝驅動程式。在此,遵循 AMD 針對下載包提供的具體說明至關重要。
驗證驅動程式更新:
嘗試安裝後,必須確認新的、安全的驅動程式版本已啟用。這通常可以透過 Windows Device Manager 完成:
- 打開 Device Manager(您可以在 Windows 搜尋欄中搜尋它)。
- 找到與 Ryzen AI 或 NPU 相關的硬體裝置。這可能列在 ‘系統裝置’、’處理器’ 或專用的 AI 加速器類別下。
- 右鍵單擊該裝置並選擇 ‘內容’。
- 導航到 ‘驅動程式’ 標籤頁。
- 檢查 ‘驅動程式版本’ 欄位。根據與修補程式相關的資訊,用戶應尋找版本 32.0.203.257 或更新版本。某些報告中提到的相關驅動程式日期 (12.03.2025) 似乎異常,可能是印刷錯誤或與特定建置標識符有關;版本號是已修補軟體最可靠的指標。如果 Device Manager 顯示此版本或更高版本,則更新成功。
更新 Ryzen AI Software SDK:
對於使用 SDK 的軟體開發者,該過程涉及下載並安裝最新版本:
- 下載: 訪問 AMD Ryzen AI 網站(需要登錄並可能需要表單確認)以下載更新的 SDK。已修補的版本被標識為 Ryzen AI Software 1.4.0 或更新版本。請準備好進行大量下載,因為安裝包據稱約為 3.4 GB。
- 安裝: 運行下載的安裝程式包。它應該會覆寫先前的安裝或引導您完成升級過程,確保應用了修正後的檔案權限(解決 CVE-2025-0014)以及任何其他更新。
鑑於所有已識別漏洞的 ‘高’ 嚴重性評級,及時修補至關重要。延遲這些更新會使系統和開發環境暴露於潛在的利用風險中。
更廣泛的背景:AI 硬體與安全
AMD Ryzen AI 軟體中的這些漏洞突顯了科技行業一個日益嚴峻的挑戰:保護驅動人工智能的日益複雜的硬體和軟體生態系統。隨著 AI 工作負載從雲端轉移到邊緣裝置和個人電腦——即所謂的 ‘裝置上 AI’ (on-device AI)——安全影響成倍增加。
擴大的攻擊面: 整合像 NPU 這樣的專用硬體從根本上增加了系統的攻擊面。每個新的硬體元件都帶有其自己的一套驅動程式、韌體和管理軟體,所有這些都可能包含可利用的缺陷。NPU 驅動程式漏洞直接證明了這種風險。
複雜性滋生錯誤: 現代處理器及其附帶的軟體極其複雜。CPU、NPU、作業系統、驅動程式和應用程式之間錯綜複雜的交互作用為開發過程中潛入細微錯誤——如整數溢位或不正確的權限設定——創造了無數機會。徹底的安全審計和測試至關重要,但難以詳盡執行。
軟體層的重要性: 雖然硬體加速是關鍵,但軟體(驅動程式和 SDK)才是使其可用和可訪問的要素。此軟體層中的缺陷可能完全破壞底層硬體的安全性,即使晶片本身是健全的。SDK 漏洞 (CVE-2025-0014) 突顯了即使是用於 建構 AI 應用程式的工具,如果未能妥善保護,也可能成為入侵的媒介。
供應鏈風險: 對於開發者而言,SDK 漏洞引入了一種形式的供應鏈風險。如果他們依賴的工具遭到入侵,他們生產的軟體可能會無意中包含惡意軟體或後門,從而影響他們自己的客戶。這強調了開發者需要確保其開發環境和工具鏈是安全的。
修補的必要性: 這些缺陷的發現也突顯了硬體供應商持續需要健全的漏洞披露和修補流程。AMD 及時回應承認問題並提供更新至關重要。然而,責任隨後落在用戶和開發者身上,需要他們勤奮地應用這些修補程式。任何安全修復的有效性完全取決於其採用率。未修補的系統對於知曉已公佈漏洞的攻擊者來說,仍然是唾手可得的目標。
隨著 AI 更深入地融入我們的計算體驗,底層元件——包括硬體和軟體——的安全性將變得越來越關鍵。像這樣的事件有力地提醒我們,創新必須與嚴格的安全工程以及對持續維護和修補的承諾齊頭並進。用戶受益於 Ryzen AI 的強大功能,但這種益處依賴於一個信任基礎,即該技術不僅功能強大,而且安全。維護這種信任需要供應商、開發者和終端用戶共同保持警惕。迅速應用 AMD 提供的更新是針對這些特定威脅加固該基礎的必要第一步。