ডকার ডকারড্যাশের দুর্বলতা ঠিক করেছে যা এআই সহকারী আস্ক গর্ডনের জন্য হুমকিস্বরূপ।

ডকারড্যাশ নিরাপত্তা দুর্বলতা হল একটি গুরুত্বপূর্ণ মেটা-কনটেক্সট ইনজেকশন ত্রুটি যা ডকার ডেস্কটপ এবং ডকার সিএলআই-তে আস্ক গর্ডন এআই সহকারীকে প্রভাবিত করে। এই দুর্বলতা আক্রমণকারীদের অননুমোদিত কোড কার্যকর করতে এবং প্রমাণীকরণ ছাড়াই ডকার ইমেজ মেটাডেটার মাধ্যমে সংবেদনশীল ডেটা চুরি করতে দেয়।

নোমা ল্যাবসের গবেষকরা এই দুর্বলতা আবিষ্কার করেন এবং ডকার আনুষ্ঠানিকভাবে ২০২৫ সালের নভেম্বরে ৪.৫০.০ সংস্করণে একটি প্যাচ প্রকাশ করেন।

মেটা-কনটেক্সট ইনজেকশনের মাধ্যমে শোষণ প্রক্রিয়া

নোমা সিকিউরিটির মতে, ডকারড্যাশের মূল কারণ হলো আস্ক গর্ডনের যাচাই না করা মেটাডেটাকে বৈধ কমান্ড হিসেবে ব্যবহার করা। একজন আক্রমণকারী একটি ডকার ইমেজ তৈরি করতে পারে যেখানে ডকারফাইলের LABEL ফিল্ডে এমবেড করা ক্ষতিকারক কমান্ড থাকে। যখন একজন ব্যবহারকারী এই ইমেজ সম্পর্কে আস্ক গর্ডনকে প্রশ্ন করেন, তখন এআই ক্ষতিকারক নির্দেশিকাটিকে একটি সাধারণ নিয়ন্ত্রণ কমান্ড হিসেবে বিশ্লেষণ এবং ব্যাখ্যা করে।

এরপর Ask Gordon এই কন্টেন্টটি MCP গেটওয়ে (মডেল কনটেক্সট প্রোটোকল) -এ ফরোয়ার্ড করে। যেহেতু গেটওয়ে বর্ণনামূলক লেবেল এবং অভ্যন্তরীণ কমান্ডের মধ্যে পার্থক্য করতে পারে না, তাই এটি কোনও অতিরিক্ত প্রমাণীকরণ পদক্ষেপের প্রয়োজন ছাড়াই ব্যবহারকারীর প্রশাসনিক সুবিধা সহ MCP টুলের মাধ্যমে কোডটি কার্যকর করে।

কোড কার্যকরকরণ এবং সিস্টেম ডেটা ফাঁসের ঝুঁকি।

ডকারড্যাশ আক্রমণ বিশেষভাবে বিপজ্জনক কারণ এটি ডকারের বিদ্যমান আর্কিটেকচারকে কাজে লাগায়। রিমোট কোড এক্সিকিউশন ছাড়াও, আক্রমণকারীরা ডকার ডেস্কটপ পরিবেশের মধ্যে সংবেদনশীল ডেটা সংগ্রহ করার জন্য এআই সহকারীদের কাজে লাগাতে পারে। প্রকাশিত তথ্যের মধ্যে কন্টেইনারের বিবরণ, সিস্টেম কনফিগারেশন, মাউন্ট করা ডিরেক্টরি এবং অভ্যন্তরীণ নেটওয়ার্ক আর্কিটেকচার অন্তর্ভুক্ত থাকতে পারে।

উল্লেখযোগ্যভাবে, সংস্করণ 4.50.0 কেবল ডকারড্যাশকেই প্যাচ করে না বরং পিলার সিকিউরিটি দ্বারা আবিষ্কৃত আরেকটি প্রম্পট ইনজেকশন দুর্বলতাও ঠিক করে। এই দুর্বলতা পূর্বে আক্রমণকারীদের ডকার হাবের রিপোজিটরি মেটাডেটার মাধ্যমে AI এর নিয়ন্ত্রণ অর্জন করতে সক্ষম করেছিল।

জিরো-ট্রাস্ট নিরাপত্তা এবং প্রমাণীকরণের সুপারিশ

নোমা সিকিউরিটির একজন বিশেষজ্ঞ সাসি লেভি বিশ্বাস করেন যে ডকারড্যাশ এআই সরবরাহ শৃঙ্খলের ঝুঁকি সম্পর্কে একটি সতর্কতা হিসেবে কাজ করে। পূর্বে সম্পূর্ণরূপে বিশ্বাসযোগ্য বলে বিবেচিত ইনপুট উৎসগুলিকে বৃহৎ মডেল ভাষার (এলএলএম) কার্যকর করার প্রবাহকে কাজে লাগানো যেতে পারে।

ঝুঁকি কমাতে, ব্যবহারকারীদের ডকার ডেস্কটপকে অবিলম্বে সর্বশেষ সংস্করণে আপডেট করা উচিত। বিশেষজ্ঞরা সুপারিশ করেন যে সিস্টেমের নিরাপত্তা নিশ্চিত করার জন্য AI মডেলগুলিতে প্রদত্ত সমস্ত প্রাসঙ্গিক ডেটাতে শূন্য-বিশ্বাস বৈধতা প্রয়োগ করা বাধ্যতামূলক।