Challenges and Design Considerations for Finding CUDA Bugs Through GPU-Native Fuzzing

Diese Arbeit untersucht die Herausforderungen der Speichersicherheit in heterogenen Systemen und argumentiert, dass ein GPU-natives Fuzzing für CUDA-Programme notwendig ist, um die durch ungetreue Übersetzungen auf CPUs verursachten Sicherheitslücken zu überwinden und die Zuverlässigkeit moderner KI- und wissenschaftlicher Workloads zu gewährleisten.

Das Wesentliche

Titel: Warum wir die GPU nicht mehr nur auf dem CPU-Computer testen dürfen – Eine einfache Erklärung

Stellen Sie sich vor, die Welt der Computer hat sich verändert. Früher war alles ein riesiger, starker Ein-Zimmer-Haus (der CPU). Heute haben wir ein modernes Hochhaus, in dem ein schlauer Verwalter (die CPU) und ein extrem schneller, aber eigenwilliger Kraftsportler (die GPU) zusammenarbeiten. Die GPU ist der Star für schwere Aufgaben wie künstliche Intelligenz oder wissenschaftliche Simulationen.

Das Problem? Der Verwalter (CPU) hat seit Jahrzehnten die besten Sicherheitsgurte, Alarmanlagen und Feuerwehrsysteme. Der Kraftsportler (GPU) hingegen trägt immer noch ein T-Shirt aus Pappe. Er ist schnell, aber gefährlich instabil.

Hier ist die Geschichte des Papers, einfach erklärt:

1. Das große Missverständnis: „Wir testen es einfach auf dem Verwalter"

Bisher haben Sicherheitsforscher einen Trick angewendet, um Fehler in der GPU zu finden: Sie haben den Code der GPU genommen und ihn so umgebaut, dass er auf dem CPU-Verwalter läuft.

• Die Analogie: Stellen Sie sich vor, Sie wollen testen, ob ein Formel-1-Auto (die GPU) bei hohen Geschwindigkeiten sicher ist. Aber anstatt es auf der Rennstrecke zu testen, bauen Sie die Räder ab und rollen es langsam durch Ihr Wohnzimmer (die CPU).
• Das Problem: Im Wohnzimmer stolpert das Auto vielleicht über einen Teppich, aber auf der Rennstrecke würde es bei 300 km/h explodieren. Durch das „Umbauen" für den CPU-Test gehen die spezifischen Gefahren der GPU verloren. Man findet keine echten Fehler, weil man die falsche Umgebung testet.

2. Die wachsende Gefahr

Die Autoren zeigen eine Grafik: Je mehr wir KI und Supercomputer nutzen, desto mehr „Löcher" (Sicherheitslücken) tauchen in der GPU auf. Diese Löcher sind gefährlich. Hacker könnten sie nutzen, um geheime Daten zu stehlen oder die KI zum Wahnsinn zu treiben.

3. Die vier großen Hürden (Warum es so schwer ist)

Um die GPU direkt auf ihrer eigenen Rennstrecke zu testen, gibt es vier massive Probleme:

• Kein Sicherheitsgurt (Sanitization): Auf der CPU gibt es Werkzeuge, die sofort schreien, wenn ein Programm zu viel Speicher frisst oder auf verbotene Bereiche zugreift. Für die GPU gibt es diese Werkzeuge kaum. Es ist, als würde man einen Fallschirmspringer ohne Fallschirm testen und hoffen, dass er nicht abstürzt.
• Der falsche Zufall (Mutation): Fuzzing (ein Testverfahren) bedeutet, zufällige Eingaben zu geben, um zu sehen, ob das Programm abstürzt. Aber Zufall ist oft dumm. Wenn man einem GPU-Programm einen völlig unsinnigen Wert gibt, lehnt es ihn sofort ab. Man braucht „kreative" Zufallswerte, die genau an den richtigen Stellen haken.
• Die schwarze Box (Coverage Tracking): Wie weiß man, ob man einen Teil des Programms getestet hat? Auf der CPU sieht man das gut. Auf der GPU ist das wie ein Fluchtfilm im Dunkeln: Man weiß nicht, welche Türen der Code gerade geöffnet hat.
• Der fehlende Startknopf (Harness): Um ein GPU-Programm zu starten, braucht man eine sehr spezifische Umgebung (Speicher vorbereiten, Daten hin- und herkopieren). Ein einfacher Test-Start funktioniert nicht. Man braucht einen komplexen „Einweiser", der alles vorbereitet, bevor das eigentliche Spiel beginnt.

4. Die Lösung: Der GPU-native Ansatz

Die Autoren schlagen vor: Testen wir die GPU direkt auf der GPU!

• Der Werkzeugkasten: Sie bauen ein neues Sicherheits-Tool, das direkt auf der Grafikkarte lebt. Es überwacht jeden Schritt, den die GPU macht, ohne den Code umzubauen.
• Der clevere Einweiser (Context-Sensitive Fuzzing): Da viele GPU-Programme nur in einer bestimmten Reihenfolge starten können, bauen sie ein System, das erst die Vorarbeit leistet (Speicher füllen, Daten laden) und dann den eigentlichen Test startet. Sie nutzen dafür existierende Beispiele von NVIDIA, um die richtige Umgebung zu simulieren.
• Der kreative Zufall (Type-Aware Mutations): Statt blind zufällige Zahlen zu werfen, versteht ihr System, was es tut.
  • Beispiel: Wenn das Programm eine Zahl erwartet, die nicht zu groß sein darf, werfen sie genau eine Zahl, die knapp zu groß ist. Wenn es eine Liste erwartet, geben sie eine Liste mit der falschen Länge. Sie „kitzeln" die Schwachstellen gezielt, statt sie zu suchen.

5. Der erste Test

Die Autoren haben ihr System mit 11 verschiedenen Bibliotheken von NVIDIA getestet (die wie das Werkzeugzeug für Mathematik sind).

• Das Ergebnis: Die bisherigen Testmethoden (die auf dem CPU-Computer liefen) haben nur etwa 26 % des Codes erreicht. Das bedeutet, 74 % des Codes wurden nie wirklich auf Fehler geprüft!
• Die Hoffnung: Mit ihrem neuen, direkten Ansatz hoffen sie, diese Lücke zu schließen und sicherzustellen, dass die KI und die Wissenschaft auf einer soliden Basis laufen.

Fazit

Die Botschaft ist einfach: Wir können die Sicherheit unserer fortschrittlichsten Computer nicht mehr mit veralteten Methoden testen, die für eine andere Welt (die CPU) gemacht wurden. Wir müssen die GPU dort testen, wo sie lebt – direkt auf der Grafikkarte – mit Werkzeugen, die ihre Sprache sprechen. Nur so können wir verhindern, dass die Zukunft der KI auf wackeligen Beinen steht.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Challenges and Design Considerations for Finding CUDA Bugs Through GPU-Native Fuzzing" auf Deutsch:

1. Problemstellung

Der Übergang von homogenen CPU-zentrierten Systemen zu heterogenen Architekturen mit eng gekoppelten CPUs und GPUs (z. B. für KI und wissenschaftliche Simulationen) hat eine kritische Sicherheitslücke aufgedeckt. Während die CPU-Software-Stack über Jahrzehnte durch Hardening-Maßnahmen (statische/dynamische Analyse, sichere Sprachen) abgesichert wurde, bleibt der GPU-Software-Stack (insbesondere CUDA) in Bezug auf Speichersicherheit (Memory Safety) gefährlich unreif.

Das zentrale Problem besteht darin, dass bestehende Abwehrmechanismen oft auf unfaithful translations (ungetreue Übersetzungen) basieren. Dabei werden GPU-Programme zur Testzwecken in CPU-Programme umgewandelt. Dies ignoriert die architektonischen Unterschiede zwischen CPUs und GPUs, was zu falschen Positiv- und Negativmeldungen führt und kritische Bugs unentdeckt lässt. Zudem steigt die Anzahl der ausnutzbaren Schwachstellen (CVEs) in GPU-Systemen rapide an, was ethische Bedenken hinsichtlich der Sicherheit von KI-Workloads aufwirft.

2. Methodik und Design-Ansatz

Die Autoren schlagen einen GPU-nativen Fuzzing-Pipeline vor, der die Testlogik direkt auf die Hardware-Komponente (die GPU) verlagert, anstatt sie auf der CPU zu simulieren. Der Ansatz nutzt Dynamic Binary Instrumentation (DBI) über das Tool NVBit (NVIDIA's Instrumentation Tool), um CUDA-Kernels nativ auf der GPU zu überwachen und zu manipulieren.

Die Lösung adressiert vier Haupt-Herausforderungen:

• GPU-native Adress-Sanitierung (Address Sanitization):
  Anstatt CPU-basierte Sanitizer zu verwenden, wird ein Tool entwickelt, das Metadaten für jeden Speicherbereich (global, lokal, shared) und für Pointer direkt auf der GPU verwaltet. Durch die Nutzung der GPU-Parallelität werden Speicherzugriffe instrumentiert, um Pufferüberläufe und „Use-After-Free"-Fehler in Echtzeit zu erkennen. Dies funktioniert auch für Closed-Source-Kernels auf handelsüblicher NVIDIA-Hardware.

• Kontext-sensitive Fuzzing (Context-Sensitive Fuzzing):
  Viele CUDA-Bibliotheken (insbesondere Closed-Source) erfordern komplexe Aufrufketten (Call Stacks) und spezifische Initialisierungen, um Low-Level-Kernels zu erreichen. Zudem verursacht Just-in-Time (JIT)-Kompilierung (PTX zu SASS) hohe Overheads.

  • Lösung: Die Pipeline nutzt Open-Source-Beispiele von NVIDIA, um die Ausführung in Phasen zu unterteilen: Initialisierung (Kontext, Speicherallokation), Berechnung (Fuzzing-Loop) und Terminierung (Rückkopie, Freigabe).
  • Der Fuzzing-Loop wird nur um die Berechnungsphase gelegt, während Initialisierung und Terminierung über viele Iterationen hinweg amortisiert werden, um den Overhead zu minimieren.

• Typbewusste Mutationen (Type-Aware Mutations):
  Herkömmliche Byte-level-Mutationen scheitern oft an typspezifischen Prüfungen in KI-Kernels. Das vorgeschlagene System führt Mutationen basierend auf den Datentypen durch:

  • Integer: Mutation über Null, Maximalwerte und Minimalwerte.
  • Floating Point: Manipulation von Vorzeichen, Mantisse und Exponent (Bit-Flips, Addition/Subtraktion).
  • Arrays: Wertmutation (z. B. leere Arrays, Dimensionen) und Pointer-Mutation (Zugriff auf falsche Speicherbereiche wie Local/Shared statt Global).

• Coverage Tracking (Abdeckungsmessung):
  Ein software-only-basiertes Profilierungstool instrumentiert Kontrollfluss-Anweisungen auf der GPU, um die Ausführungshäufigkeit von Basic Blocks zu zählen. Diese Metriken dienen als Feedback für den Fuzzer, um neue Pfade zu erkunden.

3. Schlüsselbeiträge

• Paradigmenwechsel: Der Vorschlag, Fuzzing und Sanitization nativ auf der GPU durchzuführen, um die „Faithfulness" (Treue) des Programms Verhaltens zu gewährleisten, anstatt auf CPU-Emulation zu setzen.
• Technische Umsetzung: Entwicklung eines Sanitizers und Coverage-Trackers mittels NVBit, der sowohl Open-Source- als auch Closed-Source-Kernels auf Standard-Hardware unterstützt.
• Optimierung des Fuzzing-Prozesses: Einführung einer Phasen-trennung (Initialisierung vs. Fuzzing-Loop), um den hohen Overhead von JIT-Kompilierung und Kontextsetup zu umgehen.
• Spezifische Mutationen: Entwicklung von Mutationsoperatoren, die die Semantik von GPU-Kerneln (Floats, Pointer, Arrays) verstehen, um tiefere Fehler zu finden.

4. Ergebnisse (Vorläufige Experimente)

Die Autoren führten Vorversuche mit 11 Beispielen aus der proprietären cuBLAS-Bibliothek von NVIDIA durch:

• Setup: Linux-Server mit zwei AMD EPYC CPUs und zwei NVIDIA A100 GPUs.
• Ergebnis: Die Analyse zeigte, dass die Standard-Eingaben aus den cuBLAS-Beispielen eine sehr geringe Code-Abdeckung erreichen.
  • Die geometrische Mittelwert-Abdeckung (Basic Blocks) lag bei nur 25,98 %.
  • Einzelne Bibliotheken wie rotm erreichten nur 9,09 %, während asum mit 64,29 % am besten abschneidet.
• Interpretation: Dies belegt, dass bestehende Testmethoden (wie die Nutzung von Beispielen) große Teile des Zustandsraums komplexer GPU-Programme nicht erkunden. Die GPU-native Fuzzing-Pipeline zielt darauf ab, diese Lücke zu schließen.

5. Bedeutung und ethische Implikationen

Das Paper hebt hervor, dass die Sicherheit heterogener Systeme eine ethische Verantwortung für Systemdesigner darstellt. Da die weltweit fortschrittlichsten KI- und wissenschaftlichen Workloads auf anfälliger GPU-Hardware laufen, ist es unethisch, sich auf ungenaue CPU-basierte Tests zu verlassen.
Die vorgeschlagene GPU-native Fuzzing-Pipeline bietet einen Weg, um Speichersicherheitsbugs präziser und effizienter zu finden, bevor sie zu Datenlecks, silenten Datenkorruptionen oder Angriffen (z. B. ROP) führen. Sie stellt einen wichtigen Schritt hin zu einem zuverlässigen Ökosystem für heterogene Rechenarchitekturen dar.