Docker исправляет уязвимость в DockerDash, угрожающую работе ИИ-помощника Ask Gordon.

Уязвимость безопасности DockerDash — это критическая ошибка внедрения метаконтекста, затрагивающая голосового помощника Ask Gordon в Docker Desktop и Docker CLI. Эта уязвимость позволяет злоумышленникам выполнять несанкционированный код и красть конфиденциальные данные через метаданные образа Docker без аутентификации.

Исследователи из Noma Labs обнаружили эту уязвимость, и Docker официально выпустил исправление в версии 4.50.0 в ноябре 2025 года.

Механизм эксплуатации посредством внедрения метаконтекста

По данным Noma Security, основная причина уязвимости DockerDash кроется в том, как Ask Gordon обрабатывает непроверенные метаданные, принимая их за допустимые команды. Злоумышленник может создать образ Docker, содержащий вредоносные команды, встроенные в поле LABEL файла Dockerfile. Когда пользователь задает Ask Gordon вопрос об этом образе, ИИ анализирует и интерпретирует вредоносную директиву как обычную управляющую команду.

Затем Ask Gordon пересылает этот контент на шлюз MCP (протокол контекста модели). Поскольку шлюз не может различать описательные метки и внутренние команды, он выполняет код через инструменты MCP с административными привилегиями пользователя без необходимости каких-либо дополнительных шагов аутентификации.

Риски выполнения кода и утечки системных данных.

Атака DockerDash особенно опасна, поскольку использует существующую архитектуру Docker. Помимо удаленного выполнения кода, злоумышленники могут использовать возможности ИИ-помощников для сбора конфиденциальных данных в среде Docker Desktop. Раскрытая информация может включать в себя сведения о контейнерах, системные конфигурации, смонтированные каталоги и внутреннюю сетевую архитектуру.

Примечательно, что версия 4.50.0 не только исправляет DockerDash, но и устраняет еще одну уязвимость внедрения командной строки, обнаруженную Pillar Security. Ранее эта уязвимость позволяла злоумышленникам получить контроль над ИИ через метаданные репозитория в Docker Hub.

Рекомендации по безопасности и аутентификации на основе принципа «нулевого доверия»

Саси Леви, эксперт из Noma Security, считает, что DockerDash служит предупреждением о рисках, связанных с цепочками поставок ИИ. Источники входных данных, которые ранее считались полностью надежными, могут быть использованы для манипулирования потоком выполнения языков больших моделей (LLM).

Для минимизации рисков пользователям следует немедленно обновить Docker Desktop до последней версии. Эксперты рекомендуют обязательно применять проверку на основе принципа нулевого доверия ко всем контекстным данным, предоставляемым моделям ИИ, для обеспечения безопасности системы.