Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một lỗ hổng bảo mật đã được vá, ảnh hưởng đến Ask Gordon, một trợ lý trí tuệ nhân tạo (AI) được tích hợp trong Docker Desktop và Docker Command-Line Interface (CLI). Lỗ hổng này có thể bị khai thác để thực thi mã và đánh cắp dữ liệu nhạy cảm.
Lỗ hổng nghiêm trọng này được công ty an ninh mạng Noma Labs đặt tên mã là DockerDash. Docker đã khắc phục lỗ hổng này với việc phát hành phiên bản 4.50.0 vào tháng 11 năm 2025.
"Trong DockerDash, một nhãn siêu dữ liệu độc hại duy nhất trong một Docker image có thể được sử dụng để xâm phạm môi trường Docker của bạn thông qua một cuộc tấn công ba giai đoạn đơn giản: Gordon AI đọc và diễn giải hướng dẫn độc hại, chuyển tiếp nó đến MCP [Model Context Protocol] Gateway, sau đó thực thi nó thông qua các công cụ MCP," Sasi Levi, trưởng nhóm nghiên cứu bảo mật tại Noma, cho biết trong một báo cáo được chia sẻ với The Hacker News.
"Mọi giai đoạn đều diễn ra mà không có bất kỳ xác thực nào, tận dụng các tác nhân hiện tại và kiến trúc MCP Gateway."
Khai thác thành công lỗ hổng này có thể dẫn đến việc thực thi mã từ xa (remote code execution) với tác động nghiêm trọng đối với các hệ thống đám mây và CLI, hoặc đánh cắp dữ liệu (data exfiltration) với tác động cao đối với các ứng dụng máy tính để bàn.
Noma Security cho biết, vấn đề bắt nguồn từ việc trợ lý AI coi siêu dữ liệu (metadata) không được xác minh là các lệnh có thể thực thi, cho phép nó lan truyền qua các lớp khác nhau mà không có bất kỳ xác thực nào, giúp kẻ tấn công bỏ qua các ranh giới bảo mật. Kết quả là một truy vấn AI đơn giản có thể mở ra cánh cửa cho việc thực thi công cụ.
Với việc MCP hoạt động như một cầu nối giữa một large language model (LLM) và môi trường cục bộ, vấn đề ở đây là sự thất bại của niềm tin ngữ cảnh. Vấn đề này được mô tả là một trường hợp Meta-Context Injection.
"MCP Gateway không thể phân biệt giữa siêu dữ liệu thông tin (như một Docker LABEL tiêu chuẩn) và một lệnh nội bộ đã được cấp quyền, có thể chạy," Levi nói. "Bằng cách nhúng các hướng dẫn độc hại vào các trường siêu dữ liệu này, kẻ tấn công có thể chiếm quyền kiểm soát quá trình suy luận của AI."
Trong một kịch bản tấn công giả định, kẻ tấn công có thể khai thác vi phạm ranh giới tin cậy nghiêm trọng trong cách Ask Gordon phân tích cú pháp siêu dữ liệu container. Để thực hiện điều này, kẻ tấn công tạo ra một Docker image độc hại với các hướng dẫn được nhúng trong các trường Dockerfile LABEL.
Mặc dù các trường siêu dữ liệu có vẻ vô hại, chúng trở thành vector tấn công injection khi được Ask Gordon AI xử lý. Chuỗi tấn công thực thi mã như sau:
- Kẻ tấn công xuất bản một Docker image chứa các lệnh LABEL được vũ khí hóa trong Dockerfile.
- Khi nạn nhân truy vấn Ask Gordon AI về image đó, Gordon đọc siêu dữ liệu của image, bao gồm tất cả các trường LABEL, tận dụng việc Ask Gordon không thể phân biệt giữa các mô tả siêu dữ liệu hợp lệ và các lệnh độc hại được nhúng.
- Ask Gordon chuyển tiếp các hướng dẫn đã phân tích cú pháp đến MCP Gateway, một lớp middleware nằm giữa các tác nhân AI và máy chủ MCP.
- MCP Gateway diễn giải nó như một yêu cầu tiêu chuẩn từ một nguồn đáng tin cậy và gọi các công cụ MCP được chỉ định mà không có bất kỳ xác thực bổ sung nào.
- Công cụ MCP thực thi lệnh với các đặc quyền Docker của nạn nhân, đạt được việc thực thi mã.
Lỗ hổng đánh cắp dữ liệu (data exfiltration) vũ khí hóa cùng một lỗ hổng prompt injection nhưng nhắm vào triển khai Docker Desktop của Ask Gordon để thu thập dữ liệu nội bộ nhạy cảm về môi trường của nạn nhân bằng cách sử dụng các công cụ MCP, tận dụng các quyền chỉ đọc của trợ lý.
Thông tin thu thập được có thể bao gồm chi tiết về các công cụ đã cài đặt, chi tiết container, cấu hình Docker, các thư mục được mount và cấu trúc mạng (network topology).
Điều đáng chú ý là Ask Gordon phiên bản 4.50.0 cũng khắc phục một lỗ hổng prompt injection được phát hiện bởi Pillar Security. Lỗ hổng này có thể cho phép kẻ tấn công chiếm quyền kiểm soát trợ lý và đánh cắp dữ liệu nhạy cảm bằng cách giả mạo siêu dữ liệu kho lưu trữ Docker Hub bằng các hướng dẫn độc hại.
"Lỗ hổng DockerDash nhấn mạnh sự cần thiết của bạn trong việc coi AI Supply Chain Risk là một mối đe dọa cốt lõi hiện tại," Levi nói. "Nó chứng minh rằng các nguồn đầu vào đáng tin cậy của bạn có thể được sử dụng để ẩn các payload độc hại dễ dàng thao túng đường dẫn thực thi của AI. Giảm thiểu loại tấn công mới này đòi hỏi phải triển khai xác thực zero-trust trên tất cả dữ liệu ngữ cảnh được cung cấp cho mô hình AI."
