‹ Tutti gli articoli
Hardware

Il martello che fa venire le allucinazioni alle AI

30 maggio 2026 · di Angelo Pallanca (Pan) · 2 min di lettura

C'è un attacco che non sfrutta nessun errore di programmazione. Non c'è una riga di codice sbagliata da correggere. C'è solo la fisica della memoria, che a forza di essere stimolata cede. Si chiama Rowhammer, ed è uno dei concetti più eleganti e fastidiosi della sicurezza hardware.

L'idea: in una memoria moderna le celle sono talmente vicine che leggere ripetutamente una riga può far cambiare, per interferenza elettrica, il valore di una cella adiacente. Un bit che era 0 diventa 1. Lo "martelli" abbastanza in fretta, e ribalti dati che non avresti il permesso di toccare.

Adesso il martello colpisce le GPU

Per anni Rowhammer ha riguardato la RAM dei computer. Nel 2026 i ricercatori lo hanno portato dove fa più male oggi: le GPU Nvidia. Attacchi come GPUHammer e le varianti presentate a IEEE S&P 2026 sfruttano la memoria GDDR6, con migliaia di bit-flip documentati, fino a 1.171 in un singolo esperimento, abbastanza per ottenere privilegi di root sull'host.

Ma la parte davvero interessante è un'altra. Ribaltando i bit giusti nella memoria di una GPU che esegue un modello AI, puoi degradarne le prestazioni senza toccarne il codice. Il modello continua a girare, sembra a posto, e intanto sbaglia. Gli fai venire le allucinazioni a martellate.

Come Spectre e Meltdown, Rowhammer sfrutta una proprietà fisica dell'hardware, non un bug del software. Non lo aggiusti con una patch.

Perché un bit basta a far crollare la fiducia

Siamo abituati a pensare che un sistema o funziona o è rotto. Rowhammer introduce una terza categoria, la più insidiosa: funziona male in modo invisibile. Un modello AI sabotato a livello fisico non si schianta, dà risposte leggermente peggiori. In un classificatore medico, in un sistema di guida, in un filtro antifrode, "leggermente peggiori" è esattamente lo scenario che non vuoi e che è difficilissimo da diagnosticare.

E poiché la causa è nella materia, non nel software, le difese sono parziali per costruzione. Si possono alzare barriere, isolare la memoria, ridurre la frequenza utile, ma la vulnerabilità di fondo resta lì, nel modo in cui i chip sono fatti per essere densi e veloci.

Perché conta (oltre l'accademia)

Niente allarmismo: questi attacchi richiedono condizioni precise e spesso codice già in esecuzione sulla macchina. Ma due scenari li rendono concreti.

Il cloud delle GPU. L'AI gira su GPU condivise, affittate a ore. Se la memoria di un cliente può essere martellata da un altro, l'isolamento, cioè la promessa stessa del cloud, si incrina.

La fiducia nei modelli. Stiamo mettendo decisioni importanti nelle mani di modelli che assumiamo deterministici. Un attacco che li corrompe in silenzio, dal basso, sotto il livello del software, mina la fiducia là dove non guardiamo mai: nel ferro.

La lezione è quasi poetica, per essere ingegneria. Abbiamo costruito intelligenze che dipendono, in ultima istanza, da pochi elettroni in una cella di silicio. E qualcuno ha scoperto che, bussando con insistenza, quegli elettroni rispondono.