Docker исправляет уязвимость в DockerDash, угрожающую работе ИИ-помощника Ask Gordon.
В версии Docker Desktop 4.50.0 исправлена уязвимость безопасности DockerDash, что предотвращает риск несанкционированного выполнения кода и кражи данных с помощью ИИ-помощников.
Уязвимость безопасности DockerDash — это критическая ошибка внедрения метаконтекста, затрагивающая голосового помощника Ask Gordon в Docker Desktop и Docker CLI. Эта уязвимость позволяет злоумышленникам выполнять несанкционированный код и красть конфиденциальные данные через метаданные образа Docker без аутентификации.
Исследователи из Noma Labs обнаружили эту уязвимость, и Docker официально выпустил исправление в версии 4.50.0 в ноябре 2025 года.
Механизм эксплуатации посредством внедрения метаконтекста
По данным Noma Security, основная причина DockerDash кроется в том, как Ask Gordon обрабатывает непроверенные метаданные, принимая их за допустимые команды. Злоумышленник может создать образ Docker, содержащий вредоносные команды, встроенные в это поле.ЭТИКЕТКАиз Dockerfile. Когда пользователь задает Ask Gordon вопрос об этом образе, ИИ анализирует и интерпретирует вредоносную директиву как обычную команду управления.
Затем Ask Gordon пересылает этот контент на шлюз MCP (протокол контекста модели). Поскольку шлюз не может различать описательные метки и внутренние команды, он выполняет код через инструменты MCP с административными привилегиями пользователя без необходимости каких-либо дополнительных шагов аутентификации.
Риски выполнения кода и утечки системных данных.
Атака DockerDash особенно опасна, поскольку она использует уязвимости существующей архитектуры Docker. Помимо удаленного выполнения кода, злоумышленники могут использовать ИИ-помощников для сбора конфиденциальных данных в среде Docker Desktop. Раскрытая информация может включать в себя сведения о контейнерах, системные конфигурации, смонтированные каталоги и внутреннюю сетевую архитектуру.
Примечательно, что версия 4.50.0 не только исправляет DockerDash, но и устраняет еще одну уязвимость внедрения командной строки, обнаруженную Pillar Security. Ранее эта уязвимость позволяла злоумышленникам получить контроль над ИИ через метаданные репозитория в Docker Hub.
Рекомендации по безопасности и аутентификации на основе принципа «нулевого доверия»
Саси Леви, эксперт из Noma Security, считает, что DockerDash служит предупреждением о рисках, связанных с цепочками поставок ИИ. Источники входных данных, которые ранее считались полностью надежными, могут быть использованы для манипулирования потоком выполнения языков больших моделей (LLM).
Для минимизации рисков пользователям следует немедленно обновить Docker Desktop до последней версии. Эксперты рекомендуют обязательно применять проверку на основе принципа нулевого доверия ко всем контекстным данным, предоставляемым моделям ИИ, для обеспечения безопасности системы.
