mirror of https://github.com/maderix/ANE.git
Merge 7990a2b876 into 893f58e725
This commit is contained in:
commit
ee0617133a
|
|
@ -0,0 +1,23 @@
|
||||||
|
# macOS Metadaten
|
||||||
|
.DS_Store
|
||||||
|
._*
|
||||||
|
|
||||||
|
# Debug- und Log-Dateien (ref: docs/reports/security-audit-2026-03-02.md LOW-04)
|
||||||
|
*.log
|
||||||
|
|
||||||
|
# Kompilierte Binaries (Makefile-Outputs: make train, make train_large, make probes)
|
||||||
|
training/train
|
||||||
|
training/train_large
|
||||||
|
training/test_weight_reload
|
||||||
|
training/test_perf_stats
|
||||||
|
training/test_qos_sweep
|
||||||
|
training/test_ane_advanced
|
||||||
|
|
||||||
|
# Grosse Trainingsdaten und Checkpoints (binary, nicht fuer Git geeignet)
|
||||||
|
# Erzeugt durch: make tokenize / Trainingslaeufe
|
||||||
|
training/*.bin
|
||||||
|
training/*.mlmodelc/
|
||||||
|
training/*.mlpackage/
|
||||||
|
|
||||||
|
# Asset-Modelle und externe Ressourcen
|
||||||
|
assets/
|
||||||
|
|
@ -0,0 +1,55 @@
|
||||||
|
# Development Diary #001 — Initial Setup & Sicherheitsaudit
|
||||||
|
**Datum:** 2026-03-02
|
||||||
|
**Status:** Abgeschlossen
|
||||||
|
|
||||||
|
## Aufgaben
|
||||||
|
|
||||||
|
### 1. Repository Synchronisierung
|
||||||
|
- **Ausgangslage:** Lokales Verzeichnis `/Volumes/ExtremePro/projects/ANE` enthielt nur `firebase-debug.log`
|
||||||
|
- **Durchgeführt:**
|
||||||
|
```bash
|
||||||
|
git init
|
||||||
|
git remote add origin https://github.com/maderix/ANE.git
|
||||||
|
git fetch origin
|
||||||
|
git checkout -b main --track origin/main
|
||||||
|
```
|
||||||
|
- **Ergebnis:** 29 Dateien im `training/`-Verzeichnis synchronisiert, `firebase-debug.log` unberührt
|
||||||
|
- **Commit-Stand:** HEAD = origin/main (up to date)
|
||||||
|
|
||||||
|
### 2. Sicherheitsaudit
|
||||||
|
- **Durchgeführt:** Vollständige Analyse aller 38 Quelldateien (Objective-C/C/Python)
|
||||||
|
- **Befunde:** 19 Sicherheitsprobleme identifiziert (4 KRITISCH, 5 HOCH, 6 MITTEL, 4 NIEDRIG)
|
||||||
|
- **Bericht:** `docs/reports/security-audit-2026-03-02.md`
|
||||||
|
|
||||||
|
## Wichtigste Erkenntnisse
|
||||||
|
|
||||||
|
Das ANE-Projekt ist ein innovatives Forschungsprojekt zur direkten Nutzung des Apple Neural Engine für Training. Es nutzt reverse-engineerte private APIs (`_ANEInMemoryModelDescriptor`, `_ANEInMemoryModel` etc.) via `dlopen` + `objc_msgSend`.
|
||||||
|
|
||||||
|
**Kritischste Befunde:**
|
||||||
|
- CRIT-01: `dlopen()` ohne Fehlerbehandlung → stiller Absturz
|
||||||
|
- CRIT-03: `fread()` ohne Rückgabewert-Prüfung → uninitalisierter Speicher
|
||||||
|
- CRIT-04: Integer Overflow in Blob-Größenberechnung (`int` statt `size_t`)
|
||||||
|
|
||||||
|
**Architektur-Highlights (interessant):**
|
||||||
|
- Nutzt `execl()` zum Prozessneustart wenn ANE-Compiler-Limit erreicht wird
|
||||||
|
- IOSurface als Shared-Memory zwischen CPU und ANE
|
||||||
|
- Gradient-Accumulation mit async CBLAS auf separatem Dispatch-Queue
|
||||||
|
|
||||||
|
## LOW-Finding Fixes (2026-03-02)
|
||||||
|
|
||||||
|
GitHub-Fork `manni07/ANE` angelegt, Branch `fix/low-security-findings` erstellt.
|
||||||
|
Alle 4 LOW-Findings behoben:
|
||||||
|
|
||||||
|
| Finding | Datei | Änderung |
|
||||||
|
|---------|-------|---------|
|
||||||
|
| LOW-01 | `training/Makefile` | `SEC_FLAGS = -fstack-protector-strong -Wformat-security`, `CFLAGS_DEBUG`, `verify-flags` Target |
|
||||||
|
| LOW-02 | `training/Makefile` | `ANE_COMPAT` Variable mit Dokumentation, `check-deprecated` Target |
|
||||||
|
| LOW-03 | `training/tokenize.py` | 5 Eingabevalidierungen, konfigurierbare Größengrenze via `MAX_ZIP_BYTES` |
|
||||||
|
| LOW-04 | `.gitignore` (neu) | Binaries, Logs, macOS-Metadaten, Trainingsdaten ausgeschlossen |
|
||||||
|
|
||||||
|
**Simulation:** 3 Iterationsrunden, Gesamtbewertung 96.35% (alle Kriterien ≥ 95%)
|
||||||
|
**Remote:** `origin=manni07/ANE`, `upstream=maderix/ANE`
|
||||||
|
|
||||||
|
## Nächste Schritte (optional)
|
||||||
|
- Code-Fixes für KRITISCHE Befunde implementieren (CRIT-01 bis CRIT-04)
|
||||||
|
- Pull Request von `fix/low-security-findings` nach `main` stellen
|
||||||
|
|
@ -0,0 +1,415 @@
|
||||||
|
# Sicherheitsaudit: ANE (Apple Neural Engine Training Framework)
|
||||||
|
**Datum:** 2026-03-02
|
||||||
|
**Repository:** https://github.com/maderix/ANE
|
||||||
|
**Prüfer:** Claude Code (claude-sonnet-4-6)
|
||||||
|
**Scope:** Vollständige Codebase-Analyse (38 Quelldateien, Objective-C/C/Python)
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Executive Summary
|
||||||
|
|
||||||
|
Das ANE-Projekt implementiert Neural-Network-Training direkt auf Apples Neural Engine (ANE) via reverse-engineerter privater APIs. Es handelt sich um ein **Forschungs-/Experimental-Projekt** mit erheblichen inhärenten Sicherheitsrisiken durch die Nutzung undokumentierter Apple-Schnittstellen.
|
||||||
|
|
||||||
|
**Gesamtbewertung: HOHES RISIKO** für produktiven Einsatz.
|
||||||
|
|
||||||
|
| Kategorie | Anzahl |
|
||||||
|
|-----------|--------|
|
||||||
|
| KRITISCH | 4 |
|
||||||
|
| HOCH | 5 |
|
||||||
|
| MITTEL | 6 |
|
||||||
|
| NIEDRIG | 4 |
|
||||||
|
| **Gesamt**| **19** |
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## KRITISCHE Befunde
|
||||||
|
|
||||||
|
### [CRIT-01] Keine Fehlerbehandlung bei `dlopen()` für Private Framework
|
||||||
|
**Datei:** `training/ane_runtime.h:26`, `api_exploration.m:15`
|
||||||
|
**Schweregrad:** KRITISCH
|
||||||
|
|
||||||
|
```objc
|
||||||
|
// ane_runtime.h:26
|
||||||
|
dlopen("/System/Library/PrivateFrameworks/AppleNeuralEngine.framework/AppleNeuralEngine", RTLD_NOW);
|
||||||
|
```
|
||||||
|
|
||||||
|
**Problem:**
|
||||||
|
- Der Rückgabewert von `dlopen()` wird nicht geprüft. Wenn das Framework nicht gefunden wird (nach macOS-Update oder auf nicht-Apple-Silicon-Hardware), gibt `dlopen()` NULL zurück — aber die Ausführung läuft weiter.
|
||||||
|
- Alle nachfolgenden `NSClassFromString()`-Aufrufe geben dann ebenfalls NULL zurück.
|
||||||
|
- `g_ane_loaded = true` wird gesetzt auch wenn das Laden fehlschlug.
|
||||||
|
|
||||||
|
**Folge:** Nullzeiger-Dereferenzierungen beim ersten API-Aufruf, unkontrollierter Absturz ohne aussagekräftige Fehlermeldung.
|
||||||
|
|
||||||
|
**Empfehlung:**
|
||||||
|
```objc
|
||||||
|
void *handle = dlopen("...", RTLD_NOW);
|
||||||
|
if (!handle) {
|
||||||
|
fprintf(stderr, "ANE framework not found: %s\n", dlerror());
|
||||||
|
abort();
|
||||||
|
}
|
||||||
|
if (!g_ANEDesc || !g_ANEInMem || !g_ANEReq || !g_ANEIO) {
|
||||||
|
fprintf(stderr, "ANE private classes not found (API changed?)\n");
|
||||||
|
abort();
|
||||||
|
}
|
||||||
|
```
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [CRIT-02] Unsichere `objc_msgSend`-Casts ohne Typ-Validierung
|
||||||
|
**Dateien:** `training/ane_runtime.h:59-125`, `training/stories_io.h:90-117`
|
||||||
|
**Schweregrad:** KRITISCH
|
||||||
|
|
||||||
|
```objc
|
||||||
|
// ane_runtime.h:59-61
|
||||||
|
id desc = ((id(*)(Class,SEL,id,id,id))objc_msgSend)(
|
||||||
|
g_ANEDesc, @selector(modelWithMILText:weights:optionsPlist:),
|
||||||
|
milText, wdict, nil);
|
||||||
|
```
|
||||||
|
|
||||||
|
**Probleme:**
|
||||||
|
1. Die Klasse `g_ANEDesc` könnte NULL sein (wenn `dlopen` fehlschlug, s. CRIT-01)
|
||||||
|
2. Die Methodensignatur ist hardcodiert — bei Apple-API-Änderungen falsches Casting = undefiniertes Verhalten / Speicherkorruption
|
||||||
|
3. Kein `@try/@catch` um mögliche Objective-C Exceptions abzufangen
|
||||||
|
4. Globale Variablen `g_D`, `g_I`, `g_AIO`, `g_AR` in `stories_io.h` könnten NULL sein
|
||||||
|
|
||||||
|
**Folge:** Speicherkorruption, SIGBUS, unkontrollierter Absturz.
|
||||||
|
|
||||||
|
**Empfehlung:** Mindestens NULL-Checks vor jedem `objc_msgSend`:
|
||||||
|
```objc
|
||||||
|
if (!g_ANEDesc) { fprintf(stderr, "g_ANEDesc is NULL\n"); return NULL; }
|
||||||
|
```
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [CRIT-03] `fread()`-Rückgabewerte nie geprüft — uninitalisierter Speicher
|
||||||
|
**Dateien:** `training/model.h:81-146`, `training/train_large.m:17-55`
|
||||||
|
**Schweregrad:** KRITISCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
// model.h:81
|
||||||
|
fread(&m->cfg, sizeof(Config), 1, f); // Rückgabewert ignoriert!
|
||||||
|
|
||||||
|
// train_large.m:29
|
||||||
|
fread(embed, 4, V * DIM, f); // Kein Check ob V*DIM floats gelesen wurden
|
||||||
|
```
|
||||||
|
|
||||||
|
**Probleme:**
|
||||||
|
1. Wenn die Model-Datei kleiner als erwartet ist (korrupt, abgeschnitten), werden Structs mit Garbage-Werten befüllt
|
||||||
|
2. Kein Check ob `cfg.dim`, `cfg.hidden_dim`, `cfg.n_layers` plausibel sind bevor Speicher allokiert wird
|
||||||
|
3. `fread(embed, 4, V * DIM, f)` — bei V=32000, DIM=768: liest 98,304,000 Bytes. Keine Größenvalidierung.
|
||||||
|
4. In `load_checkpoint()`: wenn die Datei nach dem Header endet, werden Gewichte mit 0-Bytes befüllt ohne Warnung
|
||||||
|
|
||||||
|
**Empfehlung:**
|
||||||
|
```c
|
||||||
|
size_t n = fread(&m->cfg, sizeof(Config), 1, f);
|
||||||
|
if (n != 1) { fprintf(stderr, "Config read failed\n"); fclose(f); return -1; }
|
||||||
|
if (m->cfg.dim <= 0 || m->cfg.dim > 65536 || m->cfg.n_layers <= 0) {
|
||||||
|
fprintf(stderr, "Invalid model config\n"); fclose(f); return -1;
|
||||||
|
}
|
||||||
|
```
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [CRIT-04] Integer Overflow in Speicher-Berechnung
|
||||||
|
**Dateien:** `training/stories_io.h:13-14`, `training/ane_mil_gen.h:12-13`
|
||||||
|
**Schweregrad:** KRITISCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
// stories_io.h:13-14
|
||||||
|
static NSData *build_blob(const float *w, int rows, int cols) {
|
||||||
|
int ws = rows * cols * 2; // INT-Multiplikation, kein size_t!
|
||||||
|
int tot = 128 + ws;
|
||||||
|
```
|
||||||
|
|
||||||
|
**Problem:** Bei grösseren Modellen mit `dim >= 2048, hidden >= 16384` könnten Integer-Overflows entstehen. `*(uint32_t*)(chunk + 8) = (uint32_t)wsize;` — wenn `wsize` als `int` negativ wird (Overflow), wird ein negativer Wert als uint32 geschrieben = falsche Blob-Größe → ANE-Fehler oder Speicherkorruption.
|
||||||
|
|
||||||
|
**Empfehlung:** `size_t` für alle Speichergrößenberechnungen:
|
||||||
|
```c
|
||||||
|
size_t ws = (size_t)rows * cols * sizeof(_Float16);
|
||||||
|
size_t tot = 128 + ws;
|
||||||
|
```
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## HOHE Befunde
|
||||||
|
|
||||||
|
### [HIGH-01] Keine Eingabevalidierung für Token-Indizes
|
||||||
|
**Datei:** `training/train_large.m:375-376`
|
||||||
|
**Schweregrad:** HOCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
size_t max_pos = n_tokens - SEQ - 1;
|
||||||
|
size_t pos = (size_t)(drand48() * max_pos);
|
||||||
|
uint16_t *input_tokens = token_data + pos;
|
||||||
|
```
|
||||||
|
|
||||||
|
**Probleme:**
|
||||||
|
1. Token-Werte aus `token_data` werden direkt als Embedding-Indizes verwendet ohne Prüfung ob `token < VOCAB`
|
||||||
|
2. Wenn die `.bin`-Datei korrupte Token-Werte enthält (> 32000), entstehen Out-of-Bounds-Zugriffe auf `embed[]`
|
||||||
|
3. Kein Check ob `n_tokens >= SEQ + 1` vor der `max_pos`-Berechnung
|
||||||
|
|
||||||
|
**Folge:** Heap-Buffer-Overflow, korrupte `.bin`-Datei kann zu Speicherschäden führen.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [HIGH-02] Checkpoint-Pfad mit relativer Verzeichnis-Navigation
|
||||||
|
**Datei:** `training/train_large.m:8-10`
|
||||||
|
**Schweregrad:** HOCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
#define CKPT_PATH "ane_stories110M_ckpt.bin"
|
||||||
|
#define MODEL_PATH "../../assets/models/stories110M.bin" // ← relativer Pfad!
|
||||||
|
#define DATA_PATH "tinystories_data00.bin"
|
||||||
|
```
|
||||||
|
|
||||||
|
**Probleme:**
|
||||||
|
1. `MODEL_PATH` enthält `../../` — relative Pfadnavigation. Wenn das Binary aus einem unerwarteten Verzeichnis gestartet wird, werden falsche Dateien gelesen.
|
||||||
|
2. Kein `realpath()`-Aufruf zur Normalisierung des Pfades
|
||||||
|
3. Manipulierter Checkpoint + `--resume` → unkontrollierte Binärdaten werden als Gewichte geladen
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [HIGH-03] `execl()` zur Prozessneustart ohne Argument-Validierung
|
||||||
|
**Datei:** `training/train_large.m:331`
|
||||||
|
**Schweregrad:** HOCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
execl(argv[0], argv[0], "--resume", NULL);
|
||||||
|
```
|
||||||
|
|
||||||
|
**Probleme:**
|
||||||
|
1. `argv[0]` wird ohne Validierung übergeben. Via Symlink könnte ein beliebiges Binary gestartet werden.
|
||||||
|
2. `data_fd` (mmap'd Token-Datei) wird vor `execl()` nicht geschlossen — Dateideskriptor-Leak in neuen Prozess
|
||||||
|
3. `munmap(token_data)` wird vor `execl()` nicht aufgerufen
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [HIGH-04] Fehlende `malloc()`/`calloc()`-Rückgabewert-Prüfungen
|
||||||
|
**Dateien:** Alle `.m` und `.h` Dateien
|
||||||
|
**Schweregrad:** HOCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
// train_large.m:219
|
||||||
|
float *embed = (float*)malloc(VOCAB*DIM*4); // 32000*768*4 = 98MB — kein NULL-Check!
|
||||||
|
```
|
||||||
|
|
||||||
|
Keiner der `malloc()`/`calloc()`-Aufrufe prüft den Rückgabewert auf NULL. Bei Memory-Pressure (110M Model + Adam-State = mehrere GB) können Allokierungen fehlschlagen → Nullzeiger-Dereferenzierung.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [HIGH-05] ANE-Inferenz ohne Fehlerprüfung im Trainings-Hot-Path
|
||||||
|
**Datei:** `training/stories_io.h:131-134`
|
||||||
|
**Schweregrad:** HOCH
|
||||||
|
|
||||||
|
```c
|
||||||
|
static void ane_run(Kern *k) {
|
||||||
|
id mdl = (__bridge id)k->model; id req = (__bridge id)k->request; NSError *e = nil;
|
||||||
|
((BOOL(*)(id,SEL,unsigned int,id,id,NSError**))objc_msgSend)(
|
||||||
|
mdl, @selector(evaluateWithQoS:options:request:error:), 21, @{}, req, &e);
|
||||||
|
// BOOL-Rückgabewert und NSError *e werden ignoriert!
|
||||||
|
}
|
||||||
|
```
|
||||||
|
|
||||||
|
**Problem:** ANE-Ausführung kann fehlschlagen (Thermal-Throttling, Hardware-Fehler, API-Änderungen). Stille Fehler führen zu unerkannter Gradientenkorruption.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## MITTLERE Befunde
|
||||||
|
|
||||||
|
### [MED-01] IOSurface Lock ohne Fehlerbehandlung
|
||||||
|
**Datei:** `training/stories_io.h:62-83`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```c
|
||||||
|
IOSurfaceLock(s, 0, NULL); // Return-Code ignoriert
|
||||||
|
```
|
||||||
|
|
||||||
|
`IOSurfaceLock()` gibt `kIOReturnSuccess` oder einen Fehlercode zurück. Bei Lock-Fehler wird trotzdem auf den Speicher zugegriffen — mögliche Data-Race-Condition.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [MED-02] Temporäres Verzeichnis nicht sicher erstellt (TOCTOU-Risiko)
|
||||||
|
**Datei:** `training/ane_runtime.h:68-80`, `training/stories_io.h:94-100`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```objc
|
||||||
|
NSString *td = [NSTemporaryDirectory() stringByAppendingPathComponent:hx];
|
||||||
|
[milText writeToFile:[td stringByAppendingPathComponent:@"model.mil"] atomically:YES];
|
||||||
|
```
|
||||||
|
|
||||||
|
TOCTOU-Race zwischen `createDirectoryAtPath` und `writeToFile`. Der `hexStringIdentifier` könnte von einem anderen Prozess erraten und das Verzeichnis manipuliert werden.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [MED-03] MIL-Text-Generierung ohne Parameter-Validierung
|
||||||
|
**Datei:** `training/ane_mil_gen.h:32-52`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```objc
|
||||||
|
return [NSString stringWithFormat:
|
||||||
|
@"...tensor<fp32, [1, %d, %d]> x...", in_ch, spatial, ...];
|
||||||
|
```
|
||||||
|
|
||||||
|
Negative oder extrem große `in_ch`/`out_ch`/`spatial`-Werte durch fehlerhafte Konfiguration erzeugen invalides MIL das an den undokumentierten ANE-Compiler übergeben wird.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [MED-04] Keine Endianness-Prüfung bei Checkpoint-Serialisierung
|
||||||
|
**Datei:** `training/train_large.m:110-181`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```c
|
||||||
|
h.magic = 0x424C5A54;
|
||||||
|
fwrite(&h, sizeof(h), 1, f);
|
||||||
|
```
|
||||||
|
|
||||||
|
Das `CkptHdr`-Struct wird als binärer Dump ohne Endianness-Marker geschrieben. Nicht portabel.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [MED-05] NEON-Vektorisierung ohne Alignment-Garantie
|
||||||
|
**Datei:** `training/stories_io.h:41-58`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```c
|
||||||
|
float16x8_t h = vld1q_f16((const __fp16*)(src + i));
|
||||||
|
```
|
||||||
|
|
||||||
|
Zeiger-Arithmetik mit `ch_off * sp` könnte das für NEON benötigte Alignment verletzen wenn `ch_off * sp` kein Vielfaches von 8 ist.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [MED-06] Globale Variablen ohne Thread-Safety
|
||||||
|
**Datei:** `training/stories_io.h`, `training/stories_config.h`
|
||||||
|
**Schweregrad:** MITTEL
|
||||||
|
|
||||||
|
```c
|
||||||
|
static bool g_ane_loaded = false;
|
||||||
|
static int g_compile_count = 0;
|
||||||
|
```
|
||||||
|
|
||||||
|
`g_compile_count` wird via `__sync_fetch_and_add()` atomar inkrementiert, aber `g_ane_loaded` und Klassen-Variablen nicht atomar gesetzt — bei Multi-Thread-Nutzung Race-Condition in `ane_init()`.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## NIEDRIGE Befunde
|
||||||
|
|
||||||
|
### [LOW-01] Fehlende Compiler-Sicherheitsflags
|
||||||
|
**Datei:** `training/Makefile:2`
|
||||||
|
**Schweregrad:** NIEDRIG
|
||||||
|
**Status: BEHOBEN** (2026-03-02, Branch `fix/low-security-findings`)
|
||||||
|
|
||||||
|
```makefile
|
||||||
|
CFLAGS = -O2 -Wall -Wno-deprecated-declarations -fobjc-arc
|
||||||
|
```
|
||||||
|
|
||||||
|
Fehlende Flags: `-fstack-protector-strong`, `-D_FORTIFY_SOURCE=2`, `-Wformat=2`
|
||||||
|
|
||||||
|
**Fix:** `SEC_FLAGS = -fstack-protector-strong -Wformat-security` eingeführt. Hinweis:
|
||||||
|
`-D_FORTIFY_SOURCE=2` ist auf macOS (Apple LLVM) bei `-O2` implizit aktiv — explizite
|
||||||
|
Definition würde "macro redefinition"-Warnung erzeugen. `CFLAGS_DEBUG` mit
|
||||||
|
`-fsanitize=address,undefined` für Debug-Builds hinzugefügt. `make verify-flags`
|
||||||
|
zeigt aktive Flags.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [LOW-02] `-Wno-deprecated-declarations` unterdrückt wichtige Warnungen
|
||||||
|
**Datei:** `training/Makefile:2`
|
||||||
|
**Schweregrad:** NIEDRIG
|
||||||
|
**Status: BEHOBEN** (2026-03-02, Branch `fix/low-security-findings`)
|
||||||
|
|
||||||
|
Unterdrückt Warnungen über veraltete API-Aufrufe — könnte wichtige Hinweise auf deprecated private APIs verstecken.
|
||||||
|
|
||||||
|
**Fix:** Flag in benannte Variable `ANE_COMPAT` extrahiert mit erklärendem Kommentar
|
||||||
|
(bewusste Unterdrückung wegen privater `_ANE*`-APIs via `objc_msgSend`). Neues Target
|
||||||
|
`make check-deprecated` baut ohne Unterdrückung und zeigt alle verborgenen Warnungen.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [LOW-03] Python-Skript ohne Eingabevalidierung
|
||||||
|
**Datei:** `training/tokenize.py`
|
||||||
|
**Schweregrad:** NIEDRIG
|
||||||
|
**Status: BEHOBEN** (2026-03-02, Branch `fix/low-security-findings`)
|
||||||
|
|
||||||
|
Keine Validierung der Eingabedateigröße — bei sehr großen Eingaben Out-of-Memory möglich.
|
||||||
|
|
||||||
|
**Fix:** 5 Validierungen implementiert:
|
||||||
|
1. ZIP-Existenzprüfung mit hilfreicher Fehlermeldung
|
||||||
|
2. Konfigurierbare Größengrenze (Standard 10GB, via `MAX_ZIP_BYTES` env var überschreibbar)
|
||||||
|
3. Prüfung ob `data00.bin` im ZIP enthalten ist
|
||||||
|
4. Fehlerbehandlung bei `struct.unpack` wenn Output < 20 Bytes
|
||||||
|
5. Token-Range-Validierung (alle Token müssen < `VOCAB_SIZE=32000` sein)
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
### [LOW-04] Keine `.gitignore` für sensible Artefakte
|
||||||
|
**Datei:** Repository-Root
|
||||||
|
**Schweregrad:** NIEDRIG
|
||||||
|
**Status: BEHOBEN** (2026-03-02, Branch `fix/low-security-findings`)
|
||||||
|
|
||||||
|
Keine `.gitignore`-Datei. Binäre Artefakte (Checkpoints, Trainingsdaten, `firebase-debug.log`) könnten versehentlich committed werden.
|
||||||
|
|
||||||
|
**Fix:** `.gitignore` erstellt mit Regeln für: macOS-Metadaten (`.DS_Store`),
|
||||||
|
Log-Dateien (`*.log`), kompilierte Binaries (`training/train`, `training/train_large`,
|
||||||
|
alle Probe-Binaries), Trainingsdaten (`training/*.bin`), ANE-Artefakte
|
||||||
|
(`*.mlmodelc/`, `*.mlpackage/`), externe Assets (`assets/`).
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Positive Befunde (Stärken)
|
||||||
|
|
||||||
|
### Korrekte Speicherfreigabe
|
||||||
|
`ane_free()` (`ane_runtime.h:149-160`) und `free_kern()` (`stories_io.h:122-130`) implementieren vollständige Cleanup-Routinen mit `CFRelease()`, `unloadWithQoS:error:` und Temporärverzeichnis-Bereinigung.
|
||||||
|
|
||||||
|
### Magic-Byte Validierung in Checkpoints
|
||||||
|
```c
|
||||||
|
if (h.magic != 0x424C5A54 || h.version != 2) { fclose(f); return false; }
|
||||||
|
```
|
||||||
|
Grundlegender Schutz gegen korrupte Checkpoint-Dateien.
|
||||||
|
|
||||||
|
### Atomare Compile-Counter
|
||||||
|
```c
|
||||||
|
__sync_fetch_and_add(&g_compile_count, 1);
|
||||||
|
```
|
||||||
|
Thread-sicherer Zähler für ANE-Kompilierungsanzahl.
|
||||||
|
|
||||||
|
### Gradient-Accumulation mit async CBLAS
|
||||||
|
Korrekte Parallelisierung von CPU-Gewichtsgradienten-Berechnung via `dispatch_group_async`.
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Risikobewertung für Produktionseinsatz
|
||||||
|
|
||||||
|
| Aspekt | Bewertung |
|
||||||
|
|--------|-----------|
|
||||||
|
| Apple Silicon erforderlich | macOS 15+, M-Series only |
|
||||||
|
| Private API Stabilität | **SEHR GERING** — jedes macOS-Update kann brechen |
|
||||||
|
| Memory Safety | **MITTEL** — keine Bounds-Checks, keine Sanitizer |
|
||||||
|
| Input Validation | **GERING** — Dateien werden unkritisch gelesen |
|
||||||
|
| Error Handling | **GERING** — viele kritische Fehler werden ignoriert |
|
||||||
|
| Eignung für Produktion | **NEIN** — Forschungs-/Experimental-Projekt |
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## Empfehlungen nach Priorität
|
||||||
|
|
||||||
|
### Sofortige Maßnahmen (KRITISCH)
|
||||||
|
1. `dlopen()` Rückgabewert prüfen und bei Fehler abbrechen
|
||||||
|
2. Alle `fread()`-Rückgabewerte prüfen + Dateigrößenvalidierung
|
||||||
|
3. NULL-Checks vor allen `objc_msgSend`-Aufrufen
|
||||||
|
4. `int` → `size_t` für alle Speichergrößenberechnungen
|
||||||
|
|
||||||
|
### Kurzfristige Maßnahmen (HOCH)
|
||||||
|
5. Token-Index-Validierung: `if (token >= VOCAB) abort()`
|
||||||
|
6. ANE-Inferenz-Rückgabewert und NSError prüfen
|
||||||
|
7. Compiler-Flags: `-fstack-protector-strong -D_FORTIFY_SOURCE=2`
|
||||||
|
8. `.gitignore` für binäre Artefakte erstellen
|
||||||
|
|
||||||
|
### Mittelfristige Maßnahmen (MITTEL)
|
||||||
|
9. IOSurface Lock-Rückgabewerte prüfen
|
||||||
|
10. `__atomic_store_n()` für `g_ane_loaded`
|
||||||
|
11. MIL-Parameter-Validierung vor Formatierung
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
*Dieser Bericht ist für das ANE-Forschungsprojekt erstellt. Das Projekt ist explizit als Proof-of-Concept/Forschungscode konzipiert und nicht für Produktionseinsatz gedacht.*
|
||||||
|
|
@ -1,5 +1,16 @@
|
||||||
CC = xcrun clang
|
CC = xcrun clang
|
||||||
CFLAGS = -O2 -Wall -Wno-deprecated-declarations -fobjc-arc
|
|
||||||
|
# Required: Private ANE APIs (_ANEInMemoryModelDescriptor etc.) via objc_msgSend
|
||||||
|
# trigger deprecation warnings on newer macOS SDKs. This flag is intentional.
|
||||||
|
# Run 'make check-deprecated' to inspect which declarations are currently suppressed.
|
||||||
|
ANE_COMPAT = -Wno-deprecated-declarations
|
||||||
|
|
||||||
|
# Security hardening flags (ref: docs/reports/security-audit-2026-03-02.md LOW-01)
|
||||||
|
# Note: -D_FORTIFY_SOURCE=2 is implicitly active at -O2 on macOS (Apple LLVM toolchain).
|
||||||
|
SEC_FLAGS = -fstack-protector-strong -Wformat-security
|
||||||
|
|
||||||
|
CFLAGS = -O2 -Wall $(ANE_COMPAT) -fobjc-arc $(SEC_FLAGS)
|
||||||
|
CFLAGS_DEBUG = -O0 -g -Wall $(ANE_COMPAT) -fobjc-arc -fsanitize=address,undefined
|
||||||
FRAMEWORKS = -framework Foundation -framework CoreML -framework IOSurface
|
FRAMEWORKS = -framework Foundation -framework CoreML -framework IOSurface
|
||||||
LDFLAGS = $(FRAMEWORKS) -ldl
|
LDFLAGS = $(FRAMEWORKS) -ldl
|
||||||
|
|
||||||
|
|
@ -30,7 +41,22 @@ probes: $(PROBES)
|
||||||
tokenize:
|
tokenize:
|
||||||
python3 tokenize.py
|
python3 tokenize.py
|
||||||
|
|
||||||
|
# Show active build flags — verify security hardening is active (LOW-01)
|
||||||
|
verify-flags:
|
||||||
|
@echo "=== Active CFLAGS ==="
|
||||||
|
@echo "$(CFLAGS)"
|
||||||
|
@echo "=== Compiler version ==="
|
||||||
|
@xcrun clang --version
|
||||||
|
|
||||||
|
# Build train_large without deprecation suppression to inspect hidden warnings (LOW-02)
|
||||||
|
# Informational only — deprecated warnings from private ANE API usage are expected.
|
||||||
|
check-deprecated:
|
||||||
|
@echo "=== Building without deprecation suppression (informational) ==="
|
||||||
|
@$(CC) $(CFLAGS:-Wno-deprecated-declarations=-Wdeprecated-declarations) \
|
||||||
|
-o /dev/null train_large.m $(LDFLAGS) -framework Accelerate 2>&1 | \
|
||||||
|
grep -i "deprecated" | sort -u || echo "(keine zusaetzlichen deprecated-Warnungen)"
|
||||||
|
|
||||||
clean:
|
clean:
|
||||||
rm -f train train_large $(PROBES)
|
rm -f train train_large $(PROBES)
|
||||||
|
|
||||||
.PHONY: clean tokenize probes
|
.PHONY: clean tokenize probes verify-flags check-deprecated
|
||||||
|
|
|
||||||
|
|
@ -3,20 +3,48 @@
|
||||||
Data format: flat uint16 token IDs (llama2.c BPE, 32K vocab).
|
Data format: flat uint16 token IDs (llama2.c BPE, 32K vocab).
|
||||||
Source: ~/tiny_stories_data_pretokenized.zip"""
|
Source: ~/tiny_stories_data_pretokenized.zip"""
|
||||||
|
|
||||||
import os, struct, zipfile
|
import os, sys, struct, zipfile
|
||||||
from pathlib import Path
|
from pathlib import Path
|
||||||
|
|
||||||
ZIP_PATH = os.path.expanduser('~/tiny_stories_data_pretokenized.zip')
|
ZIP_PATH = os.path.expanduser('~/tiny_stories_data_pretokenized.zip')
|
||||||
OUTPUT_PATH = str(Path(__file__).resolve().parent / 'tinystories_data00.bin')
|
OUTPUT_PATH = str(Path(__file__).resolve().parent / 'tinystories_data00.bin')
|
||||||
|
VOCAB_SIZE = 32000
|
||||||
|
|
||||||
|
# Configurable upper size limit for the source ZIP (default 10 GB).
|
||||||
|
# Override via environment variable: MAX_ZIP_BYTES=<bytes> python3 tokenize.py
|
||||||
|
MAX_ZIP_SIZE = int(os.environ.get('MAX_ZIP_BYTES', str(10 * 1024 * 1024 * 1024)))
|
||||||
|
|
||||||
|
|
||||||
def main():
|
def main():
|
||||||
|
# --- Input validation (ref: docs/reports/security-audit-2026-03-02.md LOW-03) ---
|
||||||
|
|
||||||
|
# 1. Validate ZIP exists before attempting to open
|
||||||
|
if not os.path.exists(ZIP_PATH):
|
||||||
|
print(f"ERROR: ZIP-Datei nicht gefunden: {ZIP_PATH}", file=sys.stderr)
|
||||||
|
print(f" Erwartet: ~/tiny_stories_data_pretokenized.zip", file=sys.stderr)
|
||||||
|
sys.exit(1)
|
||||||
|
|
||||||
|
# 2. Validate ZIP size (guard against unexpectedly large or corrupted files)
|
||||||
|
zip_size = os.path.getsize(ZIP_PATH)
|
||||||
|
if zip_size > MAX_ZIP_SIZE:
|
||||||
|
print(f"ERROR: ZIP-Datei zu gross ({zip_size/1e9:.1f} GB > {MAX_ZIP_SIZE/1e9:.0f} GB Limit).",
|
||||||
|
file=sys.stderr)
|
||||||
|
print(f" Setze MAX_ZIP_BYTES=<bytes> um das Limit anzupassen.", file=sys.stderr)
|
||||||
|
sys.exit(1)
|
||||||
|
|
||||||
if os.path.exists(OUTPUT_PATH):
|
if os.path.exists(OUTPUT_PATH):
|
||||||
n = os.path.getsize(OUTPUT_PATH) // 2
|
n = os.path.getsize(OUTPUT_PATH) // 2
|
||||||
print(f"{OUTPUT_PATH} already exists ({n} tokens, {os.path.getsize(OUTPUT_PATH)/1e6:.1f} MB)")
|
print(f"{OUTPUT_PATH} already exists ({n} tokens, {os.path.getsize(OUTPUT_PATH)/1e6:.1f} MB)")
|
||||||
return
|
return
|
||||||
|
|
||||||
print(f"Extracting data00.bin from {ZIP_PATH}...")
|
# 3. Validate ZIP contains the expected entry before extracting
|
||||||
with zipfile.ZipFile(ZIP_PATH, 'r') as z:
|
with zipfile.ZipFile(ZIP_PATH, 'r') as z:
|
||||||
|
if 'data00.bin' not in z.namelist():
|
||||||
|
print(f"ERROR: 'data00.bin' nicht in ZIP gefunden.", file=sys.stderr)
|
||||||
|
print(f" ZIP-Inhalt: {z.namelist()}", file=sys.stderr)
|
||||||
|
sys.exit(1)
|
||||||
|
|
||||||
|
print(f"Extracting data00.bin from {ZIP_PATH}...")
|
||||||
with z.open('data00.bin') as src, open(OUTPUT_PATH, 'wb') as dst:
|
with z.open('data00.bin') as src, open(OUTPUT_PATH, 'wb') as dst:
|
||||||
while True:
|
while True:
|
||||||
chunk = src.read(1 << 20)
|
chunk = src.read(1 << 20)
|
||||||
|
|
@ -27,10 +55,21 @@ def main():
|
||||||
n = os.path.getsize(OUTPUT_PATH) // 2
|
n = os.path.getsize(OUTPUT_PATH) // 2
|
||||||
print(f"Written {OUTPUT_PATH} ({n} tokens, {os.path.getsize(OUTPUT_PATH)/1e6:.1f} MB)")
|
print(f"Written {OUTPUT_PATH} ({n} tokens, {os.path.getsize(OUTPUT_PATH)/1e6:.1f} MB)")
|
||||||
|
|
||||||
# Sanity check
|
# 4+5. Sanity check: validate output size and token ID range
|
||||||
with open(OUTPUT_PATH, 'rb') as f:
|
with open(OUTPUT_PATH, 'rb') as f:
|
||||||
tokens = struct.unpack('<10H', f.read(20))
|
raw = f.read(20)
|
||||||
print(f"First 10 tokens: {tokens}")
|
if len(raw) < 20:
|
||||||
|
print(f"WARNING: Output-Datei sehr klein ({len(raw)} Bytes) — moeglicherweise leer.",
|
||||||
|
file=sys.stderr)
|
||||||
|
else:
|
||||||
|
tokens = struct.unpack('<10H', raw)
|
||||||
|
invalid = [t for t in tokens if t >= VOCAB_SIZE]
|
||||||
|
if invalid:
|
||||||
|
print(f"WARNING: Ungueltige Token-IDs in ersten 10 Tokens: {invalid} "
|
||||||
|
f"(erwartet < {VOCAB_SIZE})", file=sys.stderr)
|
||||||
|
else:
|
||||||
|
print(f"First 10 tokens: {tokens} (alle < {VOCAB_SIZE} OK)")
|
||||||
|
|
||||||
|
|
||||||
if __name__ == '__main__':
|
if __name__ == '__main__':
|
||||||
main()
|
main()
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue