Docker Ask Gordon漏洞深度解析:AI助手如何沦为攻击跳板?

刘学敏 2026-03-25 09:38:00
摘要: 当我们把 AI 助手集成到开发工具链中,期望它能像一位资深同事那样答疑解惑、提升效率时,很少会想到,这位“智能同事”也可能悄悄地打开了系统最危险的后门。

Docker Desktop 的 Ask Gordon 漏洞(CVE-2024-29018)正是这样一个案例。它揭示了一个严峻的现实:AI 助手的集成便利性背后,可能隐藏着直接通往基础设施核心的攻击路径。这个漏洞的本质,是一种对 AI 服务信任机制的滥用,能让未经身份验证的攻击者绕过安全边界,直接在宿主机上执行任意代码。

漏洞的核心:当“助手”变成“内鬼”

要理解这个漏洞的严重性,首先需要明确它发生在哪里,以及影响了谁。

什么是 Ask Gordon?

Ask Gordon 是 Docker Desktop 中集成的一个 AI 助手功能。它的设计初衷是帮助开发者通过自然语言交互,快速解决 Docker 使用中的问题,例如分析日志、优化 Dockerfile 或解释容器概念。

为了实现这一点,它需要在本地运行一个服务,接收用户的提问,并与后端 AI 模型进行通信。问题恰恰出在这个本地服务的实现上。

谁会受到影响?

这个漏洞主要影响在 Windows 和 macOS 系统上使用特定版本 Docker Desktop 的用户。具体来说:

  • Docker Desktop for Windows 版本:4.28.0 之前
  • Docker Desktop for macOS 版本:4.28.0 之前

如果你的 Docker Desktop 版本在此范围内,并且启用了 Ask Gordon 功能(或相关内部测试功能),那么你的系统就处于风险之中。Linux 版本的 Docker Desktop 不受此漏洞影响。

攻击路径全解析:三步直抵系统核心

攻击者利用此漏洞的过程并不复杂,但每一步都精准地利用了系统设计的缺陷,最终将一个辅助功能转变为强大的远程代码执行(RCE)工具。整个攻击链条可以分解为三个关键步骤。

第一步:定位开放的 API 端点

Ask Gordon 功能通过一个本地的 HTTP API 服务器与 Docker Desktop 前端进行通信。这个服务器在宿主机上监听一个 Unix 套接字(Socket)。

攻击者首先需要找到这个套接字文件。一旦定位,他们就可以直接向这个 API 发送请求,伪装成 Docker Desktop 前端,从而启动整个攻击流程。由于该 API 缺乏严格的身份验证机制,任何能访问该套接字文件的本地进程或用户,都能与其交互。

第二步:精心构造的恶意 Session ID

漏洞的关键在于 Ask Gordon 处理会话(Session)的方式。当用户开始一个新的对话时,API 会创建一个会话 ID,并为该会话在本地文件系统中生成一个对应的日志文件,用于记录交互历史。

问题出在会话 ID 的处理上。API 没有对用户提供的会话 ID 进行充分的净化和验证。这意味着攻击者可以构造一个包含路径遍历序列(../)的恶意会话 ID。

例如,一个恶意的会话 ID 可能看起来像这样:../../../../../../../../tmp/evil-script。

当 Ask Gordon 的后端服务接收到这个 ID 并试图创建日志文件时,它会错误地将文件写入到完全脱离其预期工作目录的位置,比如系统的 /tmp 目录下。

第三步:从文件写入到远程代码执行 (RCE)

一旦攻击者获得了在系统任意位置写入文件的能力,实现远程代码执行就只是时间问题。攻击者有多种方式将这个“任意文件写入”的能力升级为 RCE:

  • 写入 Cron 任务:在 Linux 或 macOS 系统中,攻击者可以将一个恶意的 shell 脚本写入到 /etc/cron.d/ 目录,系统会定时执行这个脚本,从而赋予攻击者持久化的执行权限。
  • 修改 Shell 配置文件:攻击者可以向用户的 .bashrc、.zshrc 或其他 shell 启动脚本中追加恶意命令。当用户下一次打开终端时,恶意代码就会被执行。
  • 覆盖合法程序:在权限足够的情况下,攻击者甚至可能覆盖系统中的某个合法二进制文件,实现“偷梁换柱”。

通过这种方式,攻击者从一个看似无害的 AI 问答功能出发,最终完全控制了开发者的主机。

我是否受到影响?快速自查指南

如果你不确定自己的环境是否存在风险,可以通过以下两个步骤快速进行检查。

确认 Docker Desktop 版本

检查你当前安装的 Docker Desktop for Windows 或 macOS 的版本号。如果版本低于  4.28.0,则存在潜在风险。

检查 Ask Gordon 功能是否启用

在旧版本中,该功能可能作为实验性功能存在。检查你的 Docker Desktop 设置,确认是否有任何与 AI Assistant 或 Ask Gordon 相关的选项被激活。

立即行动:防御与修复手册

发现风险后,应立即采取措施进行修复和缓解,以确保系统安全。

核心措施:立即升级

最直接、最有效的解决方案是立即将 Docker Desktop 升级到  4.28.0 或更高版本。Docker 官方已经在新版本中修复了此路径遍历漏洞,并加强了 API 的安全性。这是官方推荐的首选修复方案。

临时缓解:禁用 AI 助手功能

如果由于某些原因无法立即升级,一个临时的缓解措施是在 Docker Desktop 的设置中彻底禁用 Ask Gordon 或所有相关的 AI 助手功能。这可以切断攻击者利用该漏洞的入口。但这并非长久之计,升级仍然是最终的安全保障。

从 Ask Gordon 看 AI 时代的新型攻击面

Ask Gordon 漏洞事件为我们敲响了警钟。它不仅仅是 Docker 的一个孤立安全事件,更预示着在 AI 与开发工具深度融合的时代,我们将面临的全新安全挑战。

AI 工具成为新的供应链薄弱环节

我们正在将越来越多的信任赋予 AI 工具,允许它们访问我们的代码、日志甚至基础设施。这种信任关系,使得这些 AI 工具的集成点成为了新的、极具吸引力的攻击目标。一旦 AI 服务本身或其“胶水代码”存在漏洞,攻击者就能利用这份信任,轻松实现权限提升和横向移动。

“胶水代码”的潜在风险

值得注意的是,Ask Gordon 漏洞的核心问题并非出在大型语言模型(LLM)本身,而是出在连接前端与模型的本地 API 服务上——也就是所谓的“胶水代码”。这些为了集成 AI 功能而快速开发的组件,往往容易忽略传统的安全最佳实践,如输入验证和访问控制,从而引入了严重的安全漏洞。在评估 AI 应用安全时,我们必须将审查重点从模型本身扩展到整个支撑其运行的基础架构和集成逻辑上。

© docker中文社区站