Lỗ hổng DockerDash: Nguy cơ thực thi mã độc qua trợ lý AI trên Docker Desktop Docker chính thức vá lỗ hổng bảo mật nghiêm trọng mang tên DockerDash, ảnh hưởng đến trợ lý AI Ask Gordon và cho phép tin tặc thực thi mã từ xa thông qua siêu dữ liệu.

Docker vừa phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng mang tên DockerDash, ảnh hưởng trực tiếp đến Ask Gordon — trợ lý trí tuệ nhân tạo (AI) tích hợp trong Docker Desktop và giao diện dòng lệnh Docker CLI. Lỗ hổng này cho phép kẻ tấn công thực thi mã trái phép và đánh cắp dữ liệu nhạy cảm thông qua việc thao túng siêu dữ liệu của hình ảnh Docker.

Theo công ty an ninh mạng Noma Labs, đơn vị phát hiện và đặt tên cho lỗ hổng, vấn đề này đã được giải quyết triệt để trong phiên bản Docker Desktop 4.50.0 ra mắt vào tháng 11 năm 2025. Sasi Levi, Trưởng nhóm nghiên cứu bảo mật tại Noma, cho biết cuộc tấn công có thể được kích hoạt chỉ bằng một nhãn siêu dữ liệu độc hại được nhúng trong hình ảnh.

Cơ chế khai thác qua kỹ thuật tiêm siêu ngữ cảnh

Nguyên nhân gốc rễ của DockerDash nằm ở việc Ask Gordon coi các siêu dữ liệu chưa được xác minh là những lệnh thực thi hợp lệ. Trong kiến trúc hệ thống, MCP Gateway (Model Context Protocol) đóng vai trò kết nối giữa mô hình ngôn ngữ lớn (LLM) và môi trường cục bộ. Tuy nhiên, hệ thống này không thể phân biệt được đâu là mô tả thông thường và đâu là lệnh nội bộ đã được ủy quyền.

Đây là một trường hợp điển hình của Meta-Context Injection (tiêm siêu ngữ cảnh). Quy trình tấn công diễn ra theo ba giai đoạn: Đầu tiên, kẻ tấn công nhúng lệnh độc hại vào trường LABEL của Dockerfile. Khi người dùng yêu cầu Ask Gordon phân tích hình ảnh này, AI sẽ đọc luôn cả các chỉ thị nguy hiểm và chuyển tiếp chúng đến MCP Gateway. Cuối cùng, gateway thực thi lệnh với quyền quản trị Docker của nạn nhân mà không yêu cầu xác thực thêm.

Rủi ro thực thi mã và rò rỉ dữ liệu nhạy cảm

Bên cạnh khả năng thực thi mã từ xa (RCE), DockerDash còn đe dọa trực tiếp đến an toàn dữ liệu trong Docker Desktop. Bằng cách lợi dụng lỗi chèn thông báo tương tự, tin tặc có thể thu thập các thông tin nội bộ nhạy cảm thông qua quyền truy cập chỉ đọc của trợ lý AI.

Các thông tin có nguy cơ bị lộ bao gồm danh sách các công cụ đã cài đặt, chi tiết về container, cấu hình Docker, các thư mục được gắn kết và cấu trúc mạng nội bộ. Đáng chú ý, bản cập nhật 4.50.0 cũng khắc phục một lỗ hổng chèn lời nhắc khác liên quan đến siêu dữ liệu trên Docker Hub, vốn có thể giúp tin tặc chiếm quyền điều khiển trợ lý AI.

Khuyến nghị bảo mật cho chuỗi cung ứng AI

Sasi Levi nhận định DockerDash là lời cảnh báo rõ ràng về các rủi ro mới trong chuỗi cung ứng AI. Các nguồn dữ liệu đầu vào vốn được xem là đáng tin cậy hoàn toàn có thể bị lợi dụng để thao túng luồng thực thi của mô hình trí tuệ nhân tạo. Điều này đòi hỏi các nhà phát triển phải thay đổi tư duy tiếp cận an ninh mạng.

Để đảm bảo an toàn, người dùng Docker Desktop được khuyến cáo cập nhật ngay lập tức lên phiên bản 4.50.0 hoặc mới hơn. Ngoài ra, việc áp dụng cơ chế xác thực không tin tưởng (zero-trust validation) cho toàn bộ dữ liệu ngữ cảnh cung cấp cho AI là yêu cầu bắt buộc để ngăn chặn các hình thức tấn công tương tự trong tương lai.