Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về một lỗ hổng bảo mật nghiêm trọng đã được Docker khắc phục, ảnh hưởng đến Ask Gordon, trợ lý trí tuệ nhân tạo (AI) tích hợp trong Docker Desktop và giao diện dòng lệnh Docker CLI. Lỗ hổng này cho phép kẻ tấn công thực thi mã trái phép và đánh cắp dữ liệu nhạy cảm thông qua siêu dữ liệu hình ảnh Docker.
Lỗ hổng được công ty an ninh mạng Noma Labs đặt tên là DockerDash, và đã được Docker vá trong phiên bản 4.50.0, phát hành vào tháng 11 năm 2025.
Theo Sasi Levi, Trưởng nhóm nghiên cứu bảo mật tại Noma, cuộc tấn công DockerDash có thể diễn ra chỉ với một nhãn siêu dữ liệu độc hại được nhúng trong hình ảnh Docker. Ask Gordon AI sẽ đọc và diễn giải chỉ thị này, sau đó chuyển tiếp nó đến MCP Gateway (Model Context Protocol). Cuối cùng, gateway sẽ thực thi lệnh thông qua các công cụ MCP mà không cần xác thực.
Toàn bộ chuỗi tấn công gồm ba giai đoạn đều tận dụng các tác nhân và kiến trúc sẵn có của Docker, khiến lỗ hổng trở nên đặc biệt nguy hiểm.
Trong kiến trúc này, MCP đóng vai trò kết nối giữa mô hình ngôn ngữ lớn (LLM) và môi trường cục bộ. Tuy nhiên, MCP Gateway không thể phân biệt giữa siêu dữ liệu mô tả thông thường (như nhãn Docker hợp lệ) và các lệnh nội bộ đã được ủy quyền. Đây là một trường hợp điển hình của Meta-Context Injection (tiêm siêu ngữ cảnh).
Kịch bản tấn công giả định diễn ra như sau:
Thông tin bị lộ có thể bao gồm danh sách công cụ đã cài đặt, chi tiết container, cấu hình Docker, các thư mục được gắn kết và cấu trúc mạng nội bộ.
Đáng chú ý, phiên bản Ask Gordon 4.50.0 không chỉ vá DockerDash mà còn khắc phục một lỗ hổng chèn lời nhắc khác do Pillar Security phát hiện. Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển trợ lý AI bằng cách chèn lệnh độc hại vào siêu dữ liệu kho lưu trữ trên Docker Hub.
Theo Levi, DockerDash là lời cảnh báo rõ ràng rằng rủi ro chuỗi cung ứng AI cần được coi là mối đe dọa an ninh cốt lõi. Các nguồn đầu vào vốn được xem là đáng tin cậy hoàn toàn có thể bị lợi dụng để che giấu mã độc và thao túng luồng thực thi của AI. Để giảm thiểu kiểu tấn công mới này, việc áp dụng xác thực không tin tưởng (zero-trust validation) cho toàn bộ dữ liệu ngữ cảnh cung cấp cho mô hình AI là yêu cầu bắt buộc.
Lỗ hổng được công ty an ninh mạng Noma Labs đặt tên là DockerDash, và đã được Docker vá trong phiên bản 4.50.0, phát hành vào tháng 11 năm 2025.
Theo Sasi Levi, Trưởng nhóm nghiên cứu bảo mật tại Noma, cuộc tấn công DockerDash có thể diễn ra chỉ với một nhãn siêu dữ liệu độc hại được nhúng trong hình ảnh Docker. Ask Gordon AI sẽ đọc và diễn giải chỉ thị này, sau đó chuyển tiếp nó đến MCP Gateway (Model Context Protocol). Cuối cùng, gateway sẽ thực thi lệnh thông qua các công cụ MCP mà không cần xác thực.
Toàn bộ chuỗi tấn công gồm ba giai đoạn đều tận dụng các tác nhân và kiến trúc sẵn có của Docker, khiến lỗ hổng trở nên đặc biệt nguy hiểm.
Cách DockerDash bị khai thác và rủi ro an ninh mạng đi kèm
Theo Noma Security, nguyên nhân gốc rễ của lỗ hổng nằm ở việc Ask Gordon coi siêu dữ liệu chưa được xác minh là các lệnh hợp lệ có thể thực thi. Điều này cho phép các chỉ thị độc hại lan truyền qua nhiều lớp hệ thống mà không gặp bất kỳ cơ chế xác thực hay kiểm soát ngữ cảnh nào.Trong kiến trúc này, MCP đóng vai trò kết nối giữa mô hình ngôn ngữ lớn (LLM) và môi trường cục bộ. Tuy nhiên, MCP Gateway không thể phân biệt giữa siêu dữ liệu mô tả thông thường (như nhãn Docker hợp lệ) và các lệnh nội bộ đã được ủy quyền. Đây là một trường hợp điển hình của Meta-Context Injection (tiêm siêu ngữ cảnh).
Kịch bản tấn công giả định diễn ra như sau:
- Kẻ tấn công tạo và công bố một hình ảnh Docker chứa các lệnh độc hại được nhúng trong trường LABEL của Dockerfile.
- Khi nạn nhân đặt câu hỏi cho Ask Gordon về hình ảnh này, AI sẽ phân tích toàn bộ siêu dữ liệu, bao gồm các nhãn LABEL, mà không phân biệt đâu là mô tả hợp lệ hay chỉ thị nguy hiểm.
- Ask Gordon chuyển tiếp nội dung đã phân tích đến MCP Gateway, lớp trung gian giữa AI và máy chủ MCP.
- MCP Gateway coi đây là yêu cầu hợp lệ từ nguồn đáng tin cậy và gọi các công cụ MCP tương ứng mà không cần xác thực thêm.
- Công cụ MCP thực thi lệnh với quyền quản trị Docker của nạn nhân, từ đó cho phép thực thi mã trái phép.
Thông tin bị lộ có thể bao gồm danh sách công cụ đã cài đặt, chi tiết container, cấu hình Docker, các thư mục được gắn kết và cấu trúc mạng nội bộ.
Đáng chú ý, phiên bản Ask Gordon 4.50.0 không chỉ vá DockerDash mà còn khắc phục một lỗ hổng chèn lời nhắc khác do Pillar Security phát hiện. Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển trợ lý AI bằng cách chèn lệnh độc hại vào siêu dữ liệu kho lưu trữ trên Docker Hub.
Theo Levi, DockerDash là lời cảnh báo rõ ràng rằng rủi ro chuỗi cung ứng AI cần được coi là mối đe dọa an ninh cốt lõi. Các nguồn đầu vào vốn được xem là đáng tin cậy hoàn toàn có thể bị lợi dụng để che giấu mã độc và thao túng luồng thực thi của AI. Để giảm thiểu kiểu tấn công mới này, việc áp dụng xác thực không tin tưởng (zero-trust validation) cho toàn bộ dữ liệu ngữ cảnh cung cấp cho mô hình AI là yêu cầu bắt buộc.
