文章总结： 三篇论文利用Rowhammer攻击GPU显存实现从GPU到CPU的提权攻击，其中GPUBreach在IOMMU开启状态下完成完整攻击链，GDDRHammer和GeForge通过篡改页表项实现内核任意内存读写。研究揭示GDDR6显存存在安全缺陷，但攻击仅对NVIDIARTXA6000等特定型号有效，且稳定性受硬件差异影响。论文提供攻击代码并指出需强化GPU内存保护机制。 综合评分： 85 文章分类： 漏洞分析,硬件安全,攻击技术,威胁情报,实战经验

G.O.S.S.I.P 阅读推荐 2026-04-17 英伟达之惊叹

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年4月17日 20:26 上海

在小说阅读器读本章

去阅读

在古早的动画片《圣斗士星矢》中，有一个非常非常厉害的招式“雅典娜之惊叹（Athena Exclamation）”，看过动画片的老同学们应该都知道这个招式的威力。今年的IEEE S&P上，安全研究人员在面对AI的威胁时，总算想到了还手：来自多伦多大学、北卡教堂山分校、普渡大学、佐治亚理工、Clemson大学、Rochester大学等机构的研究人员贡献的三篇论文形成三位一体之势，爆出了针对英伟达GPU（或者把锅甩给三星？）的Athena Exclamation，誓要将老黄的战争武器撕成碎片！

关于这三篇论文的背景，看题目就可以追溯到两条主线：一条是经典的内存破坏漏洞及利用，另一条则是最近几年非常火热的Rowhammer攻击。关于这些背景知识，大家可以去看看我们的历史推送。反正你只需要知道基本的策略：利用Rowhammer让GPU上的显存产生错误，然后一步一步 ~~把大象塞进冰箱~~ 完成复杂的内存攻击和提权攻击即可。我们不妨先从GPUBreach: Privilege Escalation Attacks on GPUs using Rowhammer这篇论文讲起，因为它号称在三篇论文中能够实现最宽泛的攻击（见下表，能在IOMMU开启的情况下完成从GPU到CPU的攻击链并实现提权）：

关于这个攻击，首先可以参考GPUBreach这篇论文的研究组在USENIX Security 2025上的前序论文GPUHammer（也被认为是第一篇系统性研究GPU显存的Rowhammer问题的论文），因为所有的Rowhammer攻击都需要去想办法精确控制内存翻转的位置（否则没有什么攻击的意义了）。这里面通常用到的技巧包括对内存布局的研究（比如通过分析驱动程序来理解物理内存的使用）、耗尽（其他）物理内存以缩小攻击范围等等。

当然，我们之所以在今天推荐这几篇文章，其中一个原因是GPUBreach这个研究承诺在4月17日（也就是今天）公开论文和代码（在GPUBreach网站上说“The reproduction package and scripts will be available soon on GitHub: https://github.com/sith-lab/gpubreach after April 17”），不过截止到我们发稿的时候，还没有看到内容，请大家以朝阳区群众雪亮的眼睛监督作者及时公开材料！！！目前在GPUBreach网站上只有一个视频，大家可以先观看一下：

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

安全研究GoSSIP已关注

分享视频

，时长03:43

0/0

00:00/03:43

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

03:43

03:43

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

G.O.S.S.I.P 阅读推荐 2026-04-17 英伟达之惊叹

观看更多

转载

,

G.O.S.S.I.P 阅读推荐 2026-04-17 英伟达之惊叹

安全研究GoSSIP已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

GPUBreach研究中包含了两个方面的亮点：第一个是他们针对页表项（Page Table Entry，PTE）进行Rowhammer攻击的精确控制，虽然论文没放出来，但是网站上有一些基本的介绍：

第二个亮点是作者宣称实现了一条完整的从GPU到CPU再到内核提权的攻击链，甚至在开启了IOMMU的情况下（IOMMU会限制GPU和CPU的内存共享）也能实现攻击，这其中必然用到了一些trick，让我们期待论文的公开！

尽管GPUBreach还没开放，另外两篇研究工作GDDRHammer:Greatly Disturbing DRAM Rows — Cross-Component Rowhammer Attacks from Modern GPUs 和 GeForge: Hammering GDDR Memory to Forge GPU Page Tables for Fun and Profit 目前已经可以公开访问，我们也继续看看这两篇论文的细节

https://gddr.fail/files/gddrhammer.pdf https://gddr.fail/files/GeForge.pdf

我们首先关注三篇论文的共同之处：它们都是利用Rowhammer攻击去针对GPU的page-table，主要的不同在于对GPU实施攻击（执行GPU侧的任意内存读写）之后，继续攻击CPU这一侧使用的方法的差异（又变成了exp利用大赛，AI这时候是不是有话说）。GDDRHammer研究的主要亮点之一就是号称比以前的工作（对，就是GPUHammer）能够多产生差不多64倍的内存翻转效果，当然在今天之前，它也号称是全球第一个GPU-to-CPU Rowhammer exploit~ 关于内存翻转攻击这个部分我们就不详细介绍了，大家可以去看看论文，今天重点介绍一下所谓的“Hijacking CPU Memory Via the GPU”攻击。

实际上这种从一个外来domain去攻击kernel内存的想法在TEE时代就经常看到，由于内核需要和TEE通信，常见的做法是内核这边开辟一块共享内存，然后把内存的地址丢给TEE让它去写，如果攻击者能把这个地址劫持了，让TEE去修改本来不应该修改的内存（注意，在TEE那边对内存进行处理是不受内核权限访问控制的），就可以实现攻击。而GPU-to-CPU攻击的想法也差不多，先把GPU这边的页表给改掉（用Rowhammer），让特定的高权限GPU显存页面可以被普通的GPU进程（“进程”这个词不太准确）代码访问，然后攻击者就直接去访问自己的PTE页面了。更重要的是，显存的PTE表项里面有一个“APERTURE”参数，代表了这个页面指向的是GPU还是CPU的内存（显然是在没有IOMMU的保护下，CPU和GPU之间实现了统一内存访问了），那么攻击者改掉这个参数，再改掉PTE里面的物理地址，就可以很方便地实施针对内核的任意内存读写了（太简单了是不是~）

和GDDRHammer研究相比，GeForge这个研究的思路几乎是一样的（幸好两篇论文一起投稿了），最后的攻击除了对显存中的一些敏感信息（比如模型数据）的提取，也有一个针对内核的任意内存读写攻击，所以两篇论文放在一起读，审稿人显然是节省了很多工作量（不过也并没有多加两个鸡腿，都是义务劳动）。大家可以自己去找找两篇论文中的一些差异，细节里面有很多有趣的内容。

最后我们想说一下，这三篇论文都有一个比较大的问题，那就是针对GPU的Rowhammer攻击到底是不是一种稳定的攻击方式？首先所有论文都集中针对了特定型号的老黄家显卡——NVIDIA RTX A6000（注意，这不是RTX 6000！）以及它们使用的GDDR6显存。GDDRHammer的作者说他们测试了搭载了GDDR6x的ADA RTX 6000（注意，下表是作者的typo，实际上并没有什么ADA RTX A6000，这里要给论文扣一分），发现并没有办法产生Rowhammer攻击。

而GeForge的作者测试了其他的一些显卡（RTX 3080、RTX 4060、RTX 4060 Ti、RTX 5050，其中除了3080用的是GDDR6X显存，其他都用了GDDR6显存），结果发现除了RTX A6000之外，只有RTX 3060会受Rowhammer攻击的影响，其余的显存根本产生不了比特翻转。

这就让我们产生了一点点疑问：在PC DIY时代，对硬件的评测大家都知道是很难做到公平的，因为你测试的那块样品和玩家们手上的设备可能存在亿点点差异，更不要说测试的机器（电源、散热）可能也会严重影响各种运行，Chiphell论坛上那些中年富哥天天吵来吵去不是没有道理的。此外，今年是2026年，但RTX A6000（和RTX 3060）是2021年发布的产品，也许从发布到测试这段时间，显卡经历了很多（比如矿潮到矿难）也不一定？

GPUBreach https://gpubreach.ca/ GDDRHammer & GeForge https://gddr.fail/ GPUHammer（USENIX Security 2025的前驱工作） https://gpuhammer.com/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-04-17 英伟达之惊叹》