Lava Labs hat die Sicherheitsanforderungen von KI-Rechenzentren in einem Bericht mit dem Titel „Die zehn größten Sicherheitsrisiken für Rechenzentren und KI-Infrastruktur“ untersucht. Das Unternehmen kommt zu dem Schluss, dass diese Umgebungen schneller gebaut werden, als sie abgesichert werden. Zwar teilen klassische und KI-spezifische Rechenzentren viele Grundrisiken, doch KI verändert laut Lava Labs deren Ausnutzbarkeit und Reichweite. Der Bericht verweist darauf, dass Systeme, die ursprünglich für vertrauenswürdige Betreiber entworfen wurden, nun hochrangige Mehrmandanten-Workloads voneinander unabhängiger Kunden tragen.
Die zehn Risiken fasst Lava Labs unter dem Namen „Forge“ zusammen. Der Name steht laut Bericht dafür, „das Metall unter dem Modell zu härten“. Die Reihenfolge orientiert sich vor allem an der Schwere der Risiken. Die Positionen 01 bis 05 liegen unterhalb des Betriebssystems, sind schwer zu erkennen und können Auswirkungen auf ganze Cluster haben. Die Risiken 06 bis 09 lassen sich demnach meist leichter entdecken und beheben. Risiko 10 ist laut Lava Labs am einfachsten zu erkennen und zu beseitigen und am wenigsten geeignet, eine katastrophale Kompromittierung von Mandanten auszulösen.
Als zentrale Ursache nennt die Analyse, dass KI das grundlegende Vertrauensmodell klassischer Rechenzentren aufbricht. Für die Risiken 03, 07 und 08 verweist Lava Labs auf voneinander unabhängige kommerzielle Mandanten, hochwertige Workloads und GPU-Knoten, die zwischen Kunden neu zugewiesen werden. Damit ändern sich Annahmen, die in traditionellen Umgebungen über Betreiber, Nutzer und Lasten galten.
Für 01, 06 und 10 macht der Bericht neue Hardware-Realitäten dichter GPU-Cluster verantwortlich. Diese erfordern komplexe Firmware-Stacks, reagieren empfindlich auf thermische Probleme und vergrößern die Folgen von Ausfällen auf Einrichtungsebene. Bei 02 hebt Lava Labs Hochleistungs-Fabrics wie InfiniBand, RoCE, RDMA und NVLink hervor. Diese seien oft unverschlüsselt, nur unzureichend überwacht und mit weitreichenden Rechten ausgestattet. Eine schwache Isolation solcher Fabrics könne Wege für Aufklärung, Missbrauch oder seitliche Bewegung eröffnen.
Auch der operative Betrieb verschiebt nach Darstellung des Berichts Risiken. Bei 04 und 09 kann eine Konzentration von Privilegien entstehen, wenn stark auf BMC-Automatisierung, Redfish/IPMI, Firmware-Pipelines und Orchestrierungssysteme gesetzt wird. Für 05 und 10 nennt Lava Labs zudem die knappe Verfügbarkeit von GPU-Prozessoren. Diese führe dazu, dass neue KI-Rechenzentren mitunter Prozessoren einsetzen, die weniger geeignet sind und eine schwächere Isolation bieten, was Kompromittierungen in der Lieferkette wahrscheinlicher machen könne.
Lava Labs beschreibt drei Ziele der Analyse: die besonderen Risiken von KI-Rechenzentren offenzulegen, die schwerwiegendsten Risiken zu priorisieren und damit eine Art Triage-Reihenfolge zu liefern sowie Beispielangriffe und praktische Gegenmaßnahmen für diese Risiken bereitzustellen. Die Kernaussage des Berichts ist eindeutig: Wer neue Rechenzentren für KI baut, kann dafür nicht einfach das bestehende Designmodell traditioneller Rechenzentren übernehmen.
