DockerDash güvenlik açığı, Docker Desktop ve Docker CLI'deki Ask Gordon yapay zeka asistanını etkileyen kritik bir Meta-Bağlam Enjeksiyonu hatasıdır. Bu güvenlik açığı, saldırganların yetkisiz kod çalıştırmasına ve kimlik doğrulaması olmadan Docker imaj meta verileri aracılığıyla hassas verileri çalmasına olanak tanır.
Noma Labs'taki araştırmacılar bu güvenlik açığını keşfetti ve Docker, Kasım 2025'te 4.50.0 sürümünde resmi olarak bir yama yayınladı.
Meta-Bağlam Enjeksiyonu yoluyla sömürü mekanizması
Noma Security'ye göre, DockerDash'in temel nedeni Ask Gordon'ın doğrulanmamış meta verileri geçerli komutlar olarak ele almasıdır. Bir saldırgan, Dockerfile'ın LABEL alanına gömülü kötü amaçlı komutlar içeren bir Docker imajı oluşturabilir. Kullanıcı Ask Gordon'a bu imaj hakkında soru sorduğunda, yapay zeka kötü amaçlı yönergeyi normal bir kontrol komutu olarak analiz eder ve yorumlar.
Ask Gordon daha sonra bu içeriği MCP Ağ Geçidine (Model Bağlam Protokolü) iletir. Ağ Geçidi, açıklayıcı etiketler ile dahili komutlar arasında ayrım yapamadığı için, ek kimlik doğrulama adımları gerektirmeden, kullanıcının yönetici ayrıcalıklarıyla MCP araçları aracılığıyla kodu yürütür.
Kod yürütme ve sistem veri sızıntısı riskleri.
DockerDash saldırısı, Docker'ın mevcut mimarisinden faydalandığı için özellikle tehlikelidir. Saldırganlar, uzaktan kod yürütmenin yanı sıra, Docker Desktop ortamında hassas verileri toplamak için yapay zeka asistanlarından da yararlanabilirler. Açığa çıkan bilgiler arasında konteyner ayrıntıları, sistem yapılandırmaları, bağlı dizinler ve iç ağ mimarisi yer alabilir.
Özellikle, 4.50.0 sürümü yalnızca DockerDash'i yamalamakla kalmıyor, aynı zamanda Pillar Security tarafından keşfedilen başka bir komut istemi enjeksiyonu güvenlik açığını da düzeltiyor. Bu güvenlik açığı daha önce saldırganların Docker Hub'daki depo meta verileri aracılığıyla yapay zekanın kontrolünü ele geçirmesine olanak tanıyordu.
Sıfır Güven yaklaşımına yönelik güvenlik ve kimlik doğrulama önerileri
Noma Security'den uzman Sasi Levi, DockerDash'in yapay zeka tedarik zincirlerinin riskleri konusunda bir uyarı niteliğinde olduğuna inanıyor. Daha önce tamamen güvenilir kabul edilen girdi kaynakları, büyük ölçekli modelleme dillerinin (LLM) yürütme akışını manipüle etmek için kullanılabilir.
Riskleri en aza indirmek için kullanıcılar Docker Desktop'ı derhal en son sürüme güncellemelidir. Uzmanlar, sistem güvenliğini sağlamak için yapay zeka modellerine sağlanan tüm bağlamsal verilere sıfır güven doğrulaması uygulanmasının zorunlu olduğunu önermektedir.
Kaynak: https://baonghean.vn/docker-khac-phuc-lo-hong-dockerdash-de-doa-tro-ly-ai-ask-gordon-10322463.html
![[Fotoğraf] Da Nang'daki gençler, geleneksel ao dai elbiseleriyle baharın ruhunu yansıtıyor.](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2026%2F02%2F05%2F1770283565383_ndo_br_d7fd33c1bcc2329c6bd3-3439-jpg.webp&w=3840&q=75)
Yorum (0)