Investigadores de ciberseguridad han revelado detalles de una defecto de seguridad ahora parcheada que afecta a Ask Gordon, un asistente de inteligencia industrial (IA) integrado en Docker Desktop y la interfaz de andana de comandos (CLI) de Docker, que podría explotarse para ejecutar código y filtrar datos confidenciales.
La vulnerabilidad crítica ha recibido el nombre en código Docker Dash por la empresa de ciberseguridad Noma Labs. Docker solucionó este problema con el tirada de la interpretación 4.50.0 en noviembre de 2025.
“En DockerDash, se puede usar una única inscripción de metadatos maliciosos en una imagen de Docker para comprometer su entorno Docker a través de un simple ataque de tres etapas: Gordon AI lee e interpreta la instrucción maliciosa, la reenvía a la puerta de enlace MCP (Protocolo de contexto maniquí), que luego la ejecuta a través de herramientas MCP”, dijo Sasi Levi, líder de investigación de seguridad en Noma, en un referencia compartido con The Hacker News.
“Cada etapa ocurre sin garra, aprovechando los agentes actuales y la cimentación MCP Gateway”.
La explotación exitosa de la vulnerabilidad podría resultar en la ejecución remota de código de impacto crítico para sistemas CLI y en la cirro, o en la filtración de datos de stop impacto para aplicaciones de escritorio.
El problema, dijo Noma Security, surge del hecho de que el asistente de IA alcahuetería los metadatos no verificados como comandos ejecutables, lo que les permite propagarse a través de diferentes capas sin ninguna garra, lo que permite a un atacante eludir los límites de seguridad. El resultado es que una simple consulta de IA abre la puerta a la ejecución de herramientas.
Cubo que MCP actúa como un tejido conectivo entre un maniquí de habla sobresaliente (LLM) y el entorno circunscrito, el problema es una defecto en la confianza contextual. El problema se ha caracterizado como un caso de inyección de metacontexto.
“MCP Gateway no puede distinguir entre metadatos informativos (como una ETIQUETA Docker standard) y una instrucción interna ejecutable y autorizada previamente”, dijo Levi. “Al incorporar instrucciones maliciosas en estos campos de metadatos, un atacante puede secuestrar el proceso de razonamiento de la IA”.
En un decorado de ataque hipotético, un actor de amenazas puede explotar una violación crítica de los límites de confianza en la forma en que Ask Gordon analiza los metadatos del contenedor. Para ganar esto, el atacante crea una imagen de Docker maliciosa con instrucciones integradas en los campos LABEL de Dockerfile.
Si perfectamente los campos de metadatos pueden parecer inofensivos, se convierten en vectores de inyección cuando los procesa Ask Gordon AI. La prisión de ataque de ejecución de código es la posterior:
- El atacante publica una imagen de Docker que contiene instrucciones LABEL armadas en el Dockerfile
- Cuando una víctima consulta a Ask Gordon AI sobre la imagen, Gordon lee los metadatos de la imagen, incluidos todos los campos LABEL, aprovechando la incapacidad de Ask Gordon para diferenciar entre descripciones de metadatos legítimas e instrucciones maliciosas integradas.
- Pídale a Gordon que envíe las instrucciones analizadas a la puerta de enlace MCP, una capa de middleware que se encuentra entre los agentes de IA y los servidores MCP.
- MCP Gateway lo interpreta como una solicitud standard de una fuente confiable e invoca las herramientas MCP especificadas sin ninguna garra adicional.
- La útil MCP ejecuta el comando con los privilegios Docker de la víctima, logrando la ejecución del código
La vulnerabilidad de exfiltración de datos utiliza el mismo defecto de inyección rápida como arsenal, pero apunta a la implementación Docker Desktop de Ask Gordon para capturar datos internos confidenciales sobre el entorno de la víctima utilizando herramientas MCP aprovechando los permisos de solo leída del asistente.
La información recopilada puede incluir detalles sobre las herramientas instaladas, detalles del contenedor, configuración de Docker, directorios montados y topología de red.
Vale la pena señalar que la interpretación 4.50.0 de Ask Gordon todavía resuelve una vulnerabilidad de inyección rápida descubierta por Pillar Security que podría activo permitido a los atacantes secuestrar al asistente y filtrar datos confidenciales alterando los metadatos del repositorio de Docker Hub con instrucciones maliciosas.
“La vulnerabilidad de DockerDash subraya la exigencia de tratar el peligro de la prisión de suministro de IA como una amenaza central contemporáneo”, dijo Levi. “Esto demuestra que sus fuentes de entrada confiables pueden estilarse para ocultar cargas maliciosas que manipulan fácilmente la ruta de ejecución de la IA. Mitigar esta nueva clase de ataques requiere implementar una garra de confianza cero en todos los datos contextuales proporcionados al maniquí de IA”.
