Lỗ hổng DockerDash đe dọa trợ lý AI Ask Gordon: Docker phát hành bản vá bảo mật khẩn cấp
Docker vừa khắc phục lỗ hổng DockerDash nghiêm trọng trên trợ lý AI Ask Gordon. Tin tặc có thể lợi dụng siêu dữ liệu hình ảnh để thực thi mã trái phép và đánh cắp thông tin.
Docker đã chính thức phát hành bản vá cho một lỗ hổng bảo mật nghiêm trọng mang tên DockerDash, ảnh hưởng trực tiếp đến Ask Gordon — trợ lý trí tuệ nhân tạo (AI) tích hợp trong Docker Desktop và giao diện dòng lệnh Docker CLI. Lỗ hổng này mở ra cánh cửa cho kẻ tấn công thực thi mã trái phép và chiếm đoạt dữ liệu nhạy cảm thông qua việc thao túng siêu dữ liệu của các hình ảnh Docker.
Được phát hiện bởi công ty an ninh mạng Noma Labs, DockerDash đã được xử lý triệt để trong phiên bản Docker Desktop 4.50.0, phát hành vào tháng 11 năm 2025. Các chuyên gia khuyến cáo người dùng cần cập nhật hệ thống ngay lập tức để tránh các rủi ro liên quan đến chuỗi cung ứng phần mềm dựa trên AI.
Cơ chế tấn công Meta-Context Injection vào trợ lý AI
Theo Sasi Levi, Trưởng nhóm nghiên cứu bảo mật tại Noma Labs, lỗ hổng DockerDash thuộc loại Meta-Context Injection (tiêm siêu ngữ cảnh). Nguyên nhân gốc rễ nằm ở việc trợ lý Ask Gordon coi các siêu dữ liệu chưa được xác minh từ hình ảnh Docker là những lệnh thực thi hợp lệ.
Cuộc tấn công diễn ra khi tin tặc nhúng các chỉ thị độc hại vào nhãn siêu dữ liệu (LABEL) trong Dockerfile. Khi người dùng đặt câu hỏi cho Ask Gordon về hình ảnh này, AI sẽ đọc toàn bộ nhãn mà không phân biệt được đâu là mô tả thông thường và đâu là lệnh nguy hiểm. Các chỉ thị này sau đó được chuyển tiếp đến MCP Gateway (Model Context Protocol), nơi thực thi lệnh thông qua các công cụ MCP mà không yêu cầu xác thực thêm.
Ba giai đoạn của chuỗi khai thác DockerDash
Quy trình tấn công được các nhà nghiên cứu mô tả qua ba giai đoạn chính, tận dụng chính kiến trúc sẵn có của Docker:
Khởi tạo: Kẻ tấn công công bố một hình ảnh Docker chứa mã độc trong trường LABEL lên các kho lưu trữ công cộng.
Kích hoạt: Khi người dùng yêu cầu Ask Gordon phân tích hình ảnh này, AI vô tình diễn giải các nhãn độc hại thành yêu cầu gửi đến MCP Gateway.
Thực thi: MCP Gateway coi đây là yêu cầu từ nguồn tin cậy, gọi các công cụ hệ thống để thực thi mã với quyền quản trị Docker của nạn nhân.
Ngoài khả năng thực thi mã từ xa (RCE), DockerDash còn đe dọa an toàn dữ liệu. Tin tặc có thể lợi dụng quyền đọc của AI để thu thập cấu hình container, chi tiết mạng nội bộ, danh sách công cụ đã cài đặt và các thư mục được gắn kết trên máy chủ.
Lời cảnh báo về bảo mật chuỗi cung ứng AI
Đáng chú ý, phiên bản 4.50.0 của Docker còn khắc phục một lỗ hổng chèn lời nhắc khác do Pillar Security phát hiện, liên quan đến việc chiếm quyền điều khiển trợ lý AI qua siêu dữ liệu trên Docker Hub. Điều này cho thấy các thành phần AI đang trở thành mục tiêu tấn công mới đầy tiềm năng.
Các chuyên gia bảo mật nhấn mạnh rằng DockerDash là lời nhắc nhở về rủi ro chuỗi cung ứng AI. Để bảo vệ hệ thống, các doanh nghiệp cần áp dụng mô hình xác thực không tin tưởng (zero-trust validation) đối với mọi dữ liệu đầu vào cung cấp cho mô hình ngôn ngữ lớn (LLM), thay vì mặc định coi siêu dữ liệu là an toàn.
