英伟达容器工具包（NVIDIA Container Toolkit）中存在编号为CVE-2024-0132的高危漏洞，由于补丁修复不彻底，该漏洞仍可被利用，威胁AI基础设施和敏感数据安全。

结合Linux系统上Docker新发现的拒绝服务（DoS）漏洞，攻击者可能借此入侵系统、窃取专有AI模型或破坏业务运营。使用这些工具处理AI或云工作负载的组织需立即采取行动降低风险。

补丁缺陷导致系统持续暴露

2024年9月，英伟达针对CVSS v3.1评分达9.0的容器工具包漏洞CVE-2024-0132发布安全更新。该漏洞可能让攻击者突破容器隔离，访问宿主机文件系统和敏感数据。当时官方建议用户立即安装补丁。

然而趋势科技（Trend Research）2024年10月的分析显示，该补丁存在修复不完整问题。在默认配置下，1.17.3及更早版本的英伟达容器工具包仍存在风险；若启用allow-cuda-compat-libs-from-container功能，1.17.4版本同样可被利用。

该漏洞被标记为ZDI-25-087，属于检查时间与使用时间（TOCTOU）类缺陷，攻击者可借此绕过容器限制，最终可能控制整个系统。

趋势科技发言人表示："这个不完整的补丁令人担忧。那些自认为已受保护的组织可能仍处于风险之中。"该漏洞对AI驱动型行业威胁尤甚，模型或数据被盗可能导致重大损失。

Docker拒绝服务漏洞加剧威胁

在研究CVE-2024-0132过程中，研究人员还发现Linux版Docker存在可导致拒绝服务攻击的性能问题。当容器使用多个bind-propagation=shared挂载点时，该漏洞会被触发。

这些挂载点在Linux挂载表中创建父子路径，但容器终止后相关条目仍持续存在，导致挂载表无限增长。

这将耗尽文件描述符，使Docker无法创建新容器并导致CPU使用率激增。严重情况下，用户会失去SSH宿主机访问权限，实质上被锁死在系统外。

概念验证显示，受影响系统会变得无响应，既无法启动新容器，网络连接也会中断。

展示DoS问题的概念验证(PoC)

Docker安全团队指出，该问题可能源于Docker运行时或Linux内核的挂载处理机制。"Docker API会向任何有访问权限的用户授予root级特权"，这进一步放大了风险。Moby和英伟达也独立报告了类似发现，敦促用户立即重视。

漏洞利用场景分析

这些漏洞会带来严重威胁。针对CVE-2024-0132，攻击者可：

1. 制作通过卷符号链接的恶意容器镜像
2. 通过直接部署或供应链攻击将其植入目标系统
3. 利用竞态条件访问宿主机文件系统
4. 通过容器运行时Unix套接字执行任意root命令，最终获得完全控制权

Docker拒绝服务漏洞则可被用来耗尽系统资源，中断AI工作负载或关键服务。两类漏洞均可能导致数据窃取、业务中断或基础设施沦陷。

使用英伟达容器工具包或Linux版Docker的组织面临风险，特别是运行医疗、金融或自动驾驶等AI机器学习工作负载的机构。1.17.3及更早版本的默认配置均存在风险，1.17.4版本需特定功能激活才会受影响。Docker用户则面临影响技术、物流等容器化应用行业的DoS威胁。

缓解措施建议

趋势科技提出以下建议：

• 限制Docker API访问：仅限授权用户使用，避免不必要的root权限
• 禁用非必要功能：在1.17.4版本中关闭非核心功能降低风险
• 扫描容器镜像：在CI/CD流水线中通过严格准入控制拦截问题镜像
• 监控挂载表：检查异常增长以识别攻击尝试
• 审计交互行为：定期审查容器与宿主机的绑定关系并强化隔离
• 部署异常检测：使用工具识别未授权访问或可疑活动
• 验证补丁效果：测试更新确保漏洞被彻底修复

CVE-2024-0132的不完整修复和Docker拒绝服务漏洞凸显了保护AI和容器化系统的挑战。虽然英伟达和Docker预计将发布更新，但各组织必须立即行动。通过采用最佳实践和高级安全工具，才能有效保护敏感数据并确保业务连续性。

参考来源：

NVIDIA’s Incomplete Patch for Critical Flaw Lets Attackers Steal AI Model Data