أوبونتو تعطل تدابير حماية Spectre لمعالجات الرسوميات—ماذا يعني ذلك لك وكيف تتصرف.

قرار شركة Canonical بشحن أوبونتو 24.04 LTS (Noble Numbat) والإصدار القادم 25.10 مع تعطيل دفاعات Spectre في بيئة تشغيل الحوسبة على وحدة معالجة الرسومات من إنتل أثار نقاشًا حيويًا. زيادة الأداء بنسبة تصل إلى 20% لأعباء عمل OpenCL وLevel Zero تبدو مغرية، لكن خبراء الأمن يطلقون التحذيرات. هذا الدليل — خالٍ من المصطلحات المعقدة لكنه عميق تقنيًا — يقدم لك كل ما تحتاجه سواء كنت مبتدئًا أو محترفًا: الخلفية، تقييم المخاطر الواقعي، وتعليمات خطوة بخطوة لفحص نظامك وإذا لزم الأمر إعادة تأمينه.

لماذا يتحدث الجميع عن Spectre مرة أخرى؟

في عام 2018، تصدرت ثغرتا Spectre وMeltdown عناوين الأخبار العالمية. هذان النوعان من هجمات التنفيذ العابر أو التنفيذي التخميني تسمح بتسريب الأسرار (كلمات المرور، المفاتيح، رموز الجلسة) من ذاكرة يُفترض أنها معزولة عبر استغلال فروق زمنية دقيقة جدًا عندما تسوء عملية التنفيذ التخميني. تم التخفيف من Meltdown بسرعة نسبية باستخدام عزل جداول صفحات النواة (KPTI). أما Spectre فكان أشبه بالهيدرا — فكلما تم قطع رأس، ظهر متغير جديد (V2، BHB/BHI، Straight-Line Spec، Retbleed، وغيرها الكثير).

جاءت الدفاعات بتكلفة: اعتمادًا على عبء العمل، انخفض أداء وحدة المعالجة المركزية ومعدل نقل البيانات بشكل ملحوظ. تعيد Canonical الآن النظر في هذا التوازن — هذه المرة ليس على وحدة المعالجة المركزية، بل على جانب حوسبة وحدة معالجة الرسومات. وفقًا لبلاغ الخطأ رقم 2110131 في Launchpad، تعطيل التخفيفات الرسومية يمنح أداءً أفضل بنسبة تصل إلى 20% في OpenCL؛ وكانت إنتل تُصدر حزمها الخاصة بدون هذه التخفيفات لفترة طويلة.

وحدة المعالجة المركزية ≠ وحدة معالجة الرسومات — ما الذي يتم تعطيله بالضبط؟

يربط معظم المستخدمين Spectre فقط بوحدات المعالجة المركزية. لكن الأوراق البحثية المنشورة منذ 2022 تظهر أن الرسومات المتكاملة الحديثة (iGPUs) لديها أيضًا قنوات جانبية تخمينية. ردت إنتل بإضافة دفاعات إلى بيئة التشغيل المفتوحة (NEO)، يمكن التحكم بها عبر مفتاح CMake المسمى NEO_DISABLE_MITIGATIONS.

قامت Canonical الآن بضبط هذا المفتاح على TRUE افتراضيًا — فقط في المكتبة libigdrcl.so (OpenCL) وواجهة Level Zero الخلفية. تبقى حماية النواة (IBRS، IBPB، KPTI، إلخ) سليمة. إنها مقايضة كلاسيكية: تقليل العبء على وحدة معالجة الرسومات، لكن زيادة سطح الهجوم نظريًا. أكدت Phoronix تسريعًا بحوالي 20%، خصوصًا في استدلال الذكاء الاصطناعي، تحويل الفيديو (HandBrake QSV)، وأعمال التقديم في Blender Cycles.

كيف تم اتخاذ القرار؟

نسقت إنتل وCanonical جهودهما. حكمت فرق الأمن في كلا الشركتين بأن فائدة تخفيفات وحدة معالجة الرسومات أقل من تكلفة الأداء الناتجة عنها.

لا يوجد استغلال معروف في العالم الحقيقي. لم تظهر نماذج إثبات مفهوم عامة تستهدف وحدة معالجة الرسومات المتكاملة صراحة. على عكس متغيرات Spectre المبكرة على جانب وحدة المعالجة المركزية، لم يُظهر أي كود هجوم عملي — وهذا ليس تصريحًا مطلقًا لكنه نقطة بيانات مهمة.

تظل تصحيحات النواة فعالة. حتى لو ظهر متغير جديد لوحدة معالجة الرسومات، يجب على المهاجم أولًا تجاوز حواجز النواة قبل استخراج بيانات ذات معنى.
لخص خبير الأمن بروس شناير الأمر: الهجمات صعبة الاستغلال، وهناك طرق أسهل لاختراق النظام، وضربة الأداء غير متناسبة مع مكسب الأمان.