Hardware-Schwachstelle ermöglicht Hacking von KI-Trainingsdaten

Forscher der North Carolina State University (NC State) haben eine bahnbrechende Hardware-Schwachstelle entdeckt, die Angreifern ermöglicht, die Datenschutz von KI-Nutzern zu unterlaufen, indem sie die physische Hardware ausnutzen, auf der KI-Systeme laufen. Die Schwachstelle, benannt GATEBLEED, ist die erste bekannte Lücke, die es erlaubt, Trainingsdaten und andere sensible Informationen aus dem Verhalten von KI-Modellen abzuleiten – ohne direkten Zugriff auf gespeicherte Systemdaten. Die Entdeckung wirft erhebliche Sicherheitsbedenken auf und könnte Haftungsfragen für KI-Unternehmen aufwerfen. Die Ergebnisse werden auf der IEEE/ACM International Symposium on Microarchitecture (MICRO 2025) vom 18. bis 22. Oktober in Seoul, Südkorea, präsentiert.

„Was wir entdeckt haben, ist ein KI-Datenschutzangriff“, erklärt Joshua Kalyanapu, Erstautor der Studie und Doktorand an der NC State. „Sicherheitsangriffe beziehen sich auf das Stehlen von Dingen, die tatsächlich im Speicher eines Systems gespeichert sind – wie das Stehlen eines KI-Modells selbst oder seiner Hyperparameter. Das ist nicht das, was wir gefunden haben. Datenschutzangriffe stehlen Dinge, die nicht auf dem System gespeichert sind, wie die Daten, mit denen das Modell trainiert wurde, oder Attribute der Eingabedaten. Diese Fakten sickern durch das Verhalten des KI-Modells durch. Was wir gefunden haben, ist die erste Schwachstelle, die einen erfolgreichen Angriff auf den KI-Datenschutz über Hardware ermöglicht.“

Die GATEBLEED-Schwachstelle: Ausnutzung von ML-Beschleunigern und Power Gating

Die Schwachstelle betrifft „Machine-Learning-(ML)-Beschleuniger“, spezialisierte Hardware-Komponenten in Computerchips, die die Leistung von KI-Modellen steigern und den Energieverbrauch senken. ML ist ein Unterbereich der KI, bei dem Algorithmen Muster in Trainingsdaten erkennen und daraus auf neue Daten schließen. Die Forscher konzentrierten sich auf Intels Advanced Matrix Extensions (AMX), einen ML-Beschleuniger, der erstmals in der 4. Generation des Intel Xeon Scalable CPU integriert wurde. Diese Technologie ermöglicht es Chips, flexibel zwischen KI-Anwendungen und allgemeinen Rechenaufgaben zu wechseln.

GATEBLEED nutzt das „Power Gating“ – eine gängige Energiesparmaßnahme, bei der Chip-Segmente je nach Nutzung und Nachfrage ein- oder ausgeschaltet werden, um Energie zu sparen und Betriebsgrenzen einzuhalten. „Chips sind so konzipiert, dass sie verschiedene Segmente des Chips je nach Nutzung und Nachfrage hochfahren, um Energie zu sparen. Dieses Phänomen heißt Power Gating und ist die Ursache dieses Angriffs. Fast jedes große Unternehmen setzt Power Gating in verschiedenen Teilen ihrer CPUs ein, um einen Wettbewerbsvorteil zu erlangen“, erläutert Mitautor Darsh Asher, ein Doktorand an der NC State.

Wenn ein KI-Modell auf trainierte Daten trifft, nimmt der Beschleuniger Abkürzungen, was zu messbaren Verzögerungen in der Timing führt – im Vergleich zu untrainierten Daten. „Der Prozessor versorgt verschiedene Teile der On-Chip-Beschleuniger je nach Nutzung und Nachfrage; KI-Algorithmen und -Beschleuniger können Abkürzungen nehmen, wenn sie auf Datensätze stoßen, auf denen sie trainiert wurden. Das Hochfahren verschiedener Teile der Beschleuniger schafft einen beobachtbaren Timing-Kanal für Angreifer“, beschreibt Mitautor Farshad Dizani, ebenfalls Doktorand an der NC State. „Kurz gesagt: Das Verhalten des KI-Beschleunigers schwankt auf erkennbare Weise, wenn er auf trainierte Daten trifft im Vergleich zu untrainierten Daten. Diese Timing-Unterschiede schaffen eine neue Datenschutzleckage für Angreifer, die keinen direkten Zugriff auf privilegierte Informationen haben.“

Angreifer mit Serverzugriff können mit einem benutzerdefinierten Programm – ohne spezielle Berechtigungen – diese Beschleuniger-Nutzung überwachen und feststellen, ob bestimmte Daten zum Training dienten. „Wenn Sie Daten in einen Server mit KI-Beschleuniger eingeben, können wir erkennen, ob das System auf diesen Daten trainiert wurde, indem wir Schwankungen in der Beschleuniger-Nutzung beobachten“, sagt Kalyanapu. Die Attacke umgeht moderne Malware-Detektoren und traditionelle Abwehr, da sie weder Modellausgaben noch Stromverbrauch liest, sondern die Interaktion zwischen KI-Ausführung und Power-Gating-Zuständen ausnutzt.

In Experimenten erreichten die Forscher eine Genauigkeit von 81 % bei der Mitgliedschaftsinferenz (Erkennung, ob Daten trainiert wurden) und 0,89 Präzision in einem mit AMX optimierten Transformer-Modell. Bei Mixture-of-Experts (MoE)-Modellen – einer aufstrebenden KI-Architektur mit spezialisierten „Experten“-Netzwerken – leakten sie die Expertenwahl mit 100 % Genauigkeit. „Der Angriff wird effektiver, je tiefer die Netzwerke sind. Je tiefer das Netzwerk, desto anfälliger wird es für diesen Angriff“, ergänzt Azam Ghanbari, Mitautor und Doktorand.

Die Studie identifizierte über ein Dutzend „Gadgets“ (ausnutzbare Code-Muster) in gängigen ML-Bibliotheken wie HuggingFace, PyTorch und TensorFlow, die betroffene KI-Codes und moderne AI-Agenten betreffen. Es handelt sich um den ersten Side-Channel-Angriff auf KI-Datenschutz, der Hardware-Optimierungen ausnutzt.

Implikationen für KI-Sicherheit und Datenschutz

GATEBLEED eröffnet Türen für adversarische Angriffe, wie das Manipulieren von Modellverhalten, und enthüllt, ob Systeme auf unbefugten Daten trainiert wurden, was Haftungsrisiken für Unternehmen schafft. „Wenn Sie wissen, auf welchen Daten ein KI-System trainiert wurde, öffnet das die Tür zu einer Reihe adversarischer Angriffe und anderen Sicherheitsbedenken“, warnt Korrespondierende Autorin Samira Mirbagher Ajorpaz, Assistenzprofessorin für Elektrotechnik und Computertechnik an der NC State. „Zusätzlich könnte das Haftung für Unternehmen schaffen, wenn die Schwachstelle genutzt wird, um zu zeigen, dass ein Unternehmen seine Systeme auf Daten trainiert hat, zu denen es kein Recht hatte.“

Bei MoE-Architekturen, die in neuen Sprachmodellen populär werden, leak die Schwachstelle, welche „Experten“ auf Nutzeranfragen reagieren, und gibt Einblicke in Modellinterne. „GATEBLEED zeigt erstmals, dass MoE-Ausführung Spuren in der Hardware hinterlässt, die extrahiert werden können“, betont Mirbagher Ajorpaz.

Hardware-Schwachstellen wie GATEBLEED lassen sich nicht einfach per Update patchen; sie erfordern Chip-Redesigns, die Jahre dauern. Zwischenlösungen wie Mikrocode-Updates oder OS-Abwehr verursachen Leistungsverluste oder höheren Verbrauch, was in produktiven KI-Systemen inakzeptabel ist. Da Hardware unterhalb von OS, Hypervisor und Anwendungen liegt, unterlaufen sie alle höheren Schutzmaßnahmen wie Verschlüsselung oder Sandboxing. „Hardware-Schwachstellen eröffnen einen grundlegend neuen Kanal für KI-Datenschutzlecks und umgehen alle bestehenden Abwehr gegen KI-Inferenzangriffe“, so Mirbagher Ajorpaz.

Das Proof-of-Concept zeigt, dass solche Lücken remote ausnutzbar sind, ohne physischen Serverzugriff, und deutet auf weitere ähnliche Schwachstellen hin. „Unser nächster Schritt ist, Lösungen zu finden, die diese Schwachstellen bekämpfen, ohne die Vorteile von KI-Beschleunigern zu opfern“, schließt Mirbagher Ajorpaz.

Das Paper und die Präsentation

Das Paper „GATEBLEED: A Timing-Only Membership Inference Attack, MoE-Routing Inference, and a Stealthy, Generic Magnifier Via Hardware Power Gating in AI Accelerators“ (arXiv: 2507.17033) wurde von Joshua Kalyanapu, Darsh Asher, Farshad Dizani, Azam Ghanbari und Aydin Aysu (Associate Professor an der NC State) sowie Rosario Cammarota von Intel verfasst. Es wurde von der Semiconductor Research Corporation (Vertrag #2025-HW-3306) und Intel Labs gefördert.

Weitere Informationen: https://news.ncsu.edu/2025/10/ai-privacy-hardware-vulnerability/.

Diese Entdeckung unterstreicht die Dringlichkeit, Hardware-Sicherheit in der KI-Entwicklung zu priorisieren, um den Datenschutz in einer zunehmend KI-dominierten Welt zu wahren.