Docker åtgärdar DockerDash-sårbarheten som hotar AI-assistenten Ask Gordon.

DockerDash-säkerhetssårbarheten är en kritisk Meta-Context Injection-brist som påverkar AI-assistenten Ask Gordon i Docker Desktop och Docker CLI. Denna sårbarhet gör det möjligt för angripare att exekvera obehörig kod och stjäla känslig data via Docker-bildmetadata utan autentisering.

Forskare vid Noma Labs upptäckte denna sårbarhet, och Docker släppte officiellt en patch i version 4.50.0 i november 2025.

Exploateringsmekanism via Meta-Context Injection

Enligt Noma Security ligger grundorsaken till DockerDash i Ask Gordons behandling av overifierad metadata som giltiga kommandon. En angripare kan skapa en Docker-avbildning som innehåller skadliga kommandon inbäddade i LABEL- fältet i en Dockerfil. När en användare frågar Ask Gordon om denna avbildning analyserar och tolkar AI:n det skadliga direktivet som ett normalt kontrollkommando.

Ask Gordon vidarebefordrar sedan detta innehåll till MCP Gateway (Model Context Protocol). Eftersom Gateway inte kan skilja mellan beskrivande etiketter och interna kommandon, kör den koden via MCP-verktygen med användarens administratörsbehörighet utan att kräva några ytterligare autentiseringssteg.

Risker för kodkörning och systemdataläckor.

DockerDash-attacken är särskilt farlig eftersom den utnyttjar Dockers befintliga arkitektur. Förutom fjärrkörning av kod kan angripare utnyttja AI-assistenter för att samla in känsliga data i Docker Desktop-miljön. Den exponerade informationen kan inkludera containerdetaljer, systemkonfigurationer, monterade kataloger och intern nätverksarkitektur.

Det är värt att notera att version 4.50.0 inte bara korrigerar DockerDash utan även åtgärdar ytterligare en sårbarhet för snabb injektion som upptäcktes av Pillar Security. Denna sårbarhet gjorde det tidigare möjligt för angripare att få kontroll över AI genom databasmetadata på Docker Hub.

Rekommendationer för nolltrustsäkerhet och autentisering

Sasi Levi, expert från Noma Security, anser att DockerDash fungerar som en varning om riskerna med AI-leveranskedjor. Indatakällor som tidigare ansågs vara helt tillförlitliga kan utnyttjas för att manipulera exekveringsflödet för stora modellspråk (LLM).

För att minimera riskerna bör användare omedelbart uppdatera Docker Desktop till den senaste versionen. Experter rekommenderar att det är obligatoriskt att tillämpa nollförtroendevalidering på all kontextuell data som tillhandahålls AI-modeller för att säkerställa systemsäkerheten.