GPUBreach setzt darauf, im GDDR6-Speicher gezielt Bit-Flips zu erzeugen, die die Page Tables der GPU beschädigen. Dadurch erhält der Angreifer beliebigen Lese- und Schreibzugriff auf den Speicher. In Kombination mit neu entdeckten Speichersicherheitsfehlern in Nvidia-Treibern lässt sich daraus eine Rechteausweitung auf CPU-Seite konstruieren, die laut den Forschern bis zu Root-Shell-Rechten und der vollständigen Kompromittierung des Systems reicht.
Besonders kritisch ist der Angriff für Cloud-Umgebungen, in denen sich mehrere Nutzer dieselbe physische GPU teilen. Physischer oder lokaler Hardware-Zugriff auf das Zielsystem ist nicht erforderlich. Der Angreifer benötigt jedoch Codeausführungsrechte auf der GPU – das kann jeder Nutzer sein, der die GPU verwenden darf.
Hinter GPUBreach steht dasselbe Team, das zuvor GPUHammer demonstriert hatte, diesmal unterstützt von mehreren weiteren Beteiligten. Die Forscher meldeten ihre Erkenntnisse im November 2025 an Nvidia. Der Chiphersteller erklärte, er werde seinen früheren Rowhammer-Sicherheitshinweis möglicherweise um Informationen aus dem neuen Forschungsprojekt ergänzen.
Wegen der möglichen Auswirkungen auf die Cloud wurden auch Microsoft, AWS und Google informiert. Google zahlte für die Erkenntnisse eine Prämie von 600 US-Dollar aus.
Als Gegenmaßnahme nennen die Forscher ECC: Die Fehlerkorrektur kann einzelne Bit-Flips korrigieren und doppelte erkennen. „Auf Server- und Workstation-GPUs (etwa der RTX A6000) empfehlen wir, ECC gemäß dem Nvidia-Sicherheitshinweis zu aktivieren“, schreiben sie. Sie schränken jedoch ein: Wenn Angriffsmuster mehr als zwei Bit-Flips auslösen – was sich auf DDR4- und DDR5-Systemen als machbar erwiesen hat –, kann bestehendes ECC diese nicht mehr korrigieren und verursacht unter Umständen sogar stille Datenkorruption. ECC sei daher kein zuverlässiger Schutz gegen GPUBreach.
