Lỗ hổng DockerDash đe dọa trợ lý AI Ask Gordon trên Docker Desktop
Docker vừa khắc phục lỗ hổng DockerDash cho phép tin tặc thực thi mã từ xa và đánh cắp dữ liệu nhạy cảm thông qua việc thao túng siêu dữ liệu trên trợ lý AI Ask Gordon.
Docker vừa phát hành bản vá cho một lỗ hổng bảo mật nghiêm trọng mang tên DockerDash, ảnh hưởng trực tiếp đến trợ lý trí tuệ nhân tạo Ask Gordon tích hợp trong Docker Desktop và Docker CLI. Lỗ hổng này cho phép kẻ tấn công thực thi mã trái phép và đánh cắp dữ liệu nhạy cảm thông qua việc thao túng siêu dữ liệu hình ảnh Docker.
Theo công ty an ninh mạng Noma Labs, vấn đề đã được xử lý triệt để trong phiên bản Docker Desktop 4.50.0 phát hành vào tháng 11 năm 2025. Việc nâng cấp lên phiên bản mới nhất được khuyến nghị ngay lập tức để bảo vệ hạ tầng phát triển phần mềm khỏi các cuộc tấn công khai thác AI.
Cơ chế tấn công tiêm siêu ngữ cảnh qua DockerDash
Sasi Levi, Trưởng nhóm nghiên cứu bảo mật tại Noma Labs, cho biết cuộc tấn công DockerDash diễn ra thông qua một nhãn siêu dữ liệu (metadata) độc hại được nhúng trong hình ảnh Docker. Khi người dùng đặt câu hỏi cho Ask Gordon về hình ảnh này, trợ lý AI sẽ đọc và diễn giải các chỉ thị độc hại, sau đó chuyển tiếp chúng đến MCP Gateway (Model Context Protocol).
Đáng chú ý, MCP Gateway đóng vai trò là lớp trung gian nhưng lại không thể phân biệt được giữa siêu dữ liệu mô tả thông thường và các lệnh nội bộ đã được ủy quyền. Điều này dẫn đến việc Gateway thực thi lệnh thông qua các công cụ MCP mà không yêu cầu xác thực thêm. Đây là một trường hợp điển hình của Meta-Context Injection (tiêm siêu ngữ cảnh), nơi các nguồn đầu vào tưởng chừng vô hại bị lợi dụng để thao túng luồng thực thi của AI.
Rủi ro thực thi mã từ xa và rò rỉ dữ liệu nhạy cảm
Trong kịch bản tấn công, tin tặc có thể tạo ra các hình ảnh Docker chứa mã độc trong trường LABEL của Dockerfile. Khi Ask Gordon phân tích các nhãn này, nó vô tình kích hoạt các lệnh với quyền quản trị Docker của nạn nhân. Bên cạnh khả năng thực thi mã từ xa (RCE), DockerDash còn có thể bị khai thác để thu thập dữ liệu nội bộ.
Thông tin bị lộ lọt có thể bao gồm danh sách các container đang chạy, cấu hình hệ thống Docker, các thư mục được gắn kết và chi tiết về mạng nội bộ. Ngoài DockerDash, phiên bản 4.50.0 còn khắc phục một lỗ hổng chèn lời nhắc khác do Pillar Security phát hiện, liên quan đến việc chiếm quyền điều khiển trợ lý AI qua siêu dữ liệu kho lưu trữ trên Docker Hub.
Bài học về an ninh chuỗi cung ứng AI
Sự xuất hiện của DockerDash là lời cảnh báo về những rủi ro tiềm ẩn khi tích hợp AI vào các công cụ phát triển. Chuyên gia Sasi Levi nhấn mạnh rằng các nguồn đầu vào vốn được xem là đáng tin cậy hoàn toàn có thể bị lợi dụng để che giấu mã độc.
Để giảm thiểu các kiểu tấn công tương tự trong tương lai, các doanh nghiệp cần áp dụng nguyên tắc xác thực không tin tưởng (zero-trust validation) cho toàn bộ dữ liệu ngữ cảnh cung cấp cho các mô hình AI. Việc kiểm soát chặt chẽ cách thức AI tương tác với các giao thức hệ thống như MCP là yêu cầu bắt buộc để đảm bảo an ninh cho chuỗi cung ứng phần mềm hiện đại.
