1. Intel AMX加速器与THOR漏洞概述Intel高级矩阵扩展(AMX)是第四代至强可扩展处理器引入的专用加速单元专为提升矩阵运算效率而设计。其核心计算引擎Tile Matrix Multiply(TMUL)可每周期执行512次BF16或1024次INT8乘加运算显著加速机器学习推理等场景。然而这种性能优化却意外引入了新型安全威胁。我们发现AMX执行时间与操作数值存在直接关联当输入矩阵包含零值时TMUL运算会显著加速。具体表现为1000次AMX乘法在0%稀疏度时平均耗时54,005周期50%稀疏度时降至45,953周期(提速17.5%)100%稀疏度时仅需38,747周期(提速39.4%)。这种值依赖时序特性形成了可被利用的侧信道。关键发现AMX内部可能存在类似零值跳过的硬件优化机制当检测到操作数为零时会跳过部分计算步骤导致执行时间缩短。这种优化本意为提升能效却意外暴露了数据特征。2. THOR攻击技术深度解析2.1 攻击原理与实现步骤THOR攻击通过精心设计的输入向量和精确计时逐步推断神经网络权重中的零值分布。其核心流程分为三个阶段阈值校准阶段分别测量全零输入和全非零输入的AMX执行时间计算时间差作为基准阈值(Thr)示例实测数据在2.5GHz主频下64x64 INT8矩阵的Thr约1500个时钟周期向量筛选阶段生成随机输入向量Ws及其反相版本Wr测量两组输入的AMX执行时间差Δt当Δt Thr时选择执行时间较长的向量作为有效样本权重推断阶段维护两个计分向量ScoreZ和ScoreN对每个有效样本零值位置累加ScoreZ非零位置累加ScoreN最终通过ScoreN/ScoreZ比值判断权重是否为零2.2 关键技术突破与传统侧信道攻击相比THOR具有三个显著优势无需特权访问仅依赖用户态计时器(如RDTSCP)不依赖特殊寄存器或性能计数器跨核心攻击攻击者与受害者进程可运行在不同CPU核心无需共享缓存抵抗现有防御不受Spectre补丁影响绕过缓存隔离机制对置信度混淆、输出噪声等ML隐私保护措施免疫2.3 攻击效率实测在Xeon Gold 5420(Sapphire Rapids)上的测试数据显示攻击时长(分钟)准确率(%)泄漏速率(bits/hour)5609.6208530.75010076.8对比其他侧信道攻击较Hertzbleed(10.5 bits/hour)快631%较CollidePower(4.82 bits/hour)快1493%3. 漏洞根因分析与验证3.1 AMX频率调节机制通过固定CPU主频下的AMX执行时间分析发现AMX可能具有独立时钟域。典型现象包括频率爬升过程当CPU锁定在1.2GHz时AMX先稳定在1GHz再同步到1.2GHz操作数依赖零值比例越高频率爬升延迟越短Turbo Boost关闭时现象依旧存在排除了DVFS的影响3.2 性能状态分类通过调节AMX指令间隔识别出五种性能状态状态类型执行时间(周期)触发条件Warm102-103连续密集执行Cold 1104-105间隔1-10μsCold 2106-107间隔100μs-1msCold 3108间隔1-10msCold 4109间隔10ms关键发现值依赖时序差异主要在Cold状态下显著Warm状态时基本消失。4. 防御方案与性能权衡4.1 现有防御措施局限性防御方法对THOR有效性原因分析置信度混淆无效不改变AMX计算时序特性TEE(SGX)无效AMX指令在enclave外执行缓存隔离无效不依赖缓存访问模式查询速率限制部分有效仅延长攻击时间4.2 推荐防御方案AMX温态保持技术实现方式微码更新强制AMX保持Warm状态软件层面定期发送哑指令保持活跃性能影响功耗增加2.59%(轻度负载)~12.33%(满负载)吞吐量损失5%部署建议MLaaS场景默认启用普通工作负载动态切换4.3 其他缓解措施时序噪声注入在AMX指令前后添加随机延迟(50-200周期)需权衡模型推理延迟增加(约15-20%)硬件设计改进下一代AMX应实现恒定时序乘法单元可采用进位保留加法器(CRA)结构消除数据依赖5. 对AI安全的启示THOR漏洞暴露了硬件加速器优化与安全边界间的深层矛盾。我们在实际测试中发现几个关键现象稀疏性泄露的衍生风险通过权重稀疏模式可反推训练数据特征攻击者能识别敏感数据集中存在的特殊模式示例在医疗影像模型中稀疏模式泄露可反映罕见病症特征跨模型攻击可能性同一硬件上运行的不同模型可能产生可区分的时序特征通过迁移学习可实现模型指纹识别防御设计建议硬件厂商需建立安全评估框架评估每项优化特性ML开发者应假设硬件时序信息始终可能泄露关键模型建议结合同态加密与AMX加速实测中发现一个有趣现象当使用AMX执行INT8量化的ResNet-18推理时仅通过时序分析就能以82%准确率识别输入图像是否包含人脸。这显示时序侧信道可能泄露远超预期的信息。