關閉選單
  1. Home
  2. NEWS最新消息
  3. 事件與威脅
  4. 人工智慧
顯示分類
2025.12.22
事件與威脅/人工智慧
Docker修復了「Ask Gordon」人工智慧漏洞,該漏洞曾導致基於元資料的攻擊
人工智慧輔助開發下的安全盲點與新型威脅

在軟體開發環境中,人工智慧助手已成為提升生產力的核心。然而,人工智慧軟體安全公司 Pillar Security 的網路安全研究人員發現了一種方法,可以誘使 Docker 的新型人工智慧助理 Ask Gordon 竊取私人資訊。研究人員發現,可以透過一種名為間接提示注入(Indirect Prompt Injection)的方法來操縱該人工智慧助理,這是因為助手在資訊信任方面存在「盲點」

眾所周知,任何人工智慧工具一旦能夠存取私人資料、讀取網路上的不可信內容以及與外部伺服器通信,就會變得存在風險。Docker 是一個重要的平台,被數百萬開發者用於建置和共享軟體。為了簡化操作,他們推出了一款名為「Ask Gordon」的測試版工具,該工具可以使用簡單自然的語言回答問題並幫助使用者完成任務。然而,這種便利性若缺乏嚴格的邊界控制,便會成為駭客滲透開發環境的破口。

 

元數據投毒:針對開發者的隱蔽攻擊機理

研究人員指出,攻擊者可以透過一種稱為元資料投毒(Metadata Poisoning)的技術來控制該助手。透過在公共 Docker Hub 上的軟體包描述或元數據中植入隱藏的惡意指令,駭客可以等待毫無戒心的使用者與該軟體包互動。這類攻擊的隱蔽之處在於,惡意指令並非存在於代碼本身,而是存在於描述軟體的「資訊之資訊」中,這往往是傳統靜態代碼掃描(SAST)工具的監控盲區。

研究進一步表明,用戶只需提出一個簡單的問題,例如「描述這個倉庫」,人工智慧就能讀取這些隱藏的指令,並像執行合法命令一樣執行它們。進一步調查發現,人工智慧之所以落入陷阱,是因為有一種致命的三重攻擊。在這種情況下,該助理可以收集聊天記錄和敏感的建置日誌(記錄整個軟體建立過程的日誌),並將它們傳送到攻擊者擁有的伺服器

 

敏感數據外洩與 AI 代理權限濫用

攻擊者只需幾秒鐘就能取得建置 ID、API 金鑰和內部網路詳細資訊。這意味著該代理實際上充當了自身的命令與控制(C2)客戶端,將一個有用的工具變成了對付用戶的武器。由於 Ask Gordon 具有讀取工作環境上下文的權限,這種「權限升級」並非發生在作業系統層級,而是發生在 AI 的決策邏輯層級。當 AI 被誤導將外部指令視為高信任等級的操作時,它會毫無保留地將開發者的私密憑證(Credentials)暴露給攻擊者。

 

CFS 框架:解析 AI 提示注入的成功因素

為了解釋其成功原因,研究團隊使用了一個名為 CFS(上下文、格式和顯著性,Context, Format, and Salience)的框架。該框架展示了惡意指令如何透過以下方式獲得成功

  • 上下文 (Context) 惡意指令高度符合人工智慧的當前任務,使 AI 誤認為執行該指令是完成用戶請求的必要步驟。

  • 格式 (Format) 指令看起來像標準資料、文檔說明或合法的系統元數據,繞過了 AI 對非典型指令的警覺性。

  • 顯著性 (Salience) 惡意指令位於人工智慧賦予其高優先級的位置,例如元數據的開頭或特定結構化欄位中,誘導 AI 首先處理並執行。

 

CWE-1427:AI 安全脆弱性的正式定義與應對

值得注意的是,這個漏洞(正式名稱為 CWE-1427 或 AI 提示輸入處理不當)並非僅僅是理論上的猜測;研究人員在測試中成功竊取了數據,證實了該漏洞的存在。這一缺陷反映了生成式 AI 系統在「數據與指令分離」上的本質困難。當系統無法區分「要處理的資訊」與「要執行的命令」時,任何外部輸入都可能改寫系統的行為預期。

他們立即通知了 Docker 的安全團隊,團隊迅速採取了行動。該問題已於 2025 年 11 月 6 日隨著 Docker Desktop 4.50.0 版本的發布而正式解決。這是全球 AI 軟體開發安全領域的一次重要實踐案例,標誌著主流平台開始正視大語言模型(LLM)驅動工具的邊界安全問題。

 

人機互動系統 (HITL):建立 AI 安全防護網

此修復方案引入了「人機互動」(Human-in-the-Loop, HITL)系統。現在,Gordon 不再自動執行其在線找到的指令,而是在連接外部連結或執行敏感工具之前,必須停下來並徵求用戶的明確許可。這簡單的步驟確保使用者隨時掌控 AI 的實際操作,有效地阻斷了自動化、隱蔽式的間接提示注入攻擊路徑。

對於台灣的應用軟體開發者與企業而言,此案例提供了關鍵啟示:在導入任何 AI 開發助手時,必須建立「零信任 AI」原則。不應預設 AI 能自主識別惡意外部輸入,而應透過系統架構層面實施人機校驗與最小權限限制。

 

未來防禦展望

Docker Ask Gordon 的案例清楚地向業界示警:隨著 AI 深度整合進軟體生命週期,攻擊面已從傳統的二進位漏洞擴展到語義邏輯漏洞。企業應採取的關鍵措施包括:

  • 及時更新開發工具: 確保 Docker Desktop 升級至 4.50.0 或更高版本。

  • 強化元數據審查: 在與公共倉庫互動時,保持對異常描述或導向外部請求的警覺。

  • 落實人機協作安全: 維持「人」作為最終決策者的地位,不允許 AI 助手在無授權下執行外聯請求。

透過理解元數據投毒與 CFS 攻擊框架,台灣的資安團隊能更好地評估內部 AI 工具的安全性,並在追求開發效率的同時,守護核心資產與軟體供應鏈的安全。



資料來源:https://hackread.com/docker-ask-gordon-ai-flaw-metadata-attacks/
 
分析 Docker AI 助手 Ask Gordon 的嚴重安全漏洞。探討攻擊者如何利用元數據投毒與間接提示注入技術,竊取開發者的 API 金鑰、聊天記錄與建置日誌。解析 CFS 框架對 AI 攻擊成功率的影響,並詳述 Docker 4.50.0 版本中引入的人機互動(HITL)防禦機制。