Искусственный интеллект Ask Gordon ошибочно воспринимал определённые метаданные как команды для выполнения. Теоретически это создавало возможность для проведения кибератак. Хотя проблема была устранена ещё в ноябре, широкой общественности о ней стало известно лишь в последнее время.
Специалисты по кибербезопасности из Noma Labs подготовили отчёт об уже исправленном недостатке защиты в ассистенте Ask Gordon, который интегрирован в Docker Desktop и интерфейс командной строки Docker (CLI).
Эта «ошибка» потенциально позволяла запускать произвольный код и получать доступ к конфиденциальной информации.
Критический пробел в безопасности получил название DockerDash.
«Всего одна вредоносная метка в метаданных Docker-образа способна нарушить работу вашей среды Docker с помощью простой трёхшаговой атаки: ИИ Gordon считывает и выполняет зловредную инструкцию, передаёт её шлюзу MCP (протокол контекста модели), который, в свою очередь, её исполняет», — пояснил Саси Леви (Sasi Levi), глава отдела исследований безопасности в Noma, в материале для The Hacker News. — «Из-за архитектурных особенностей текущих агентов и самого шлюза MCP проверка данных на любом из этих этапов отсутствует, что упрощает задачу злоумышленникам».
Успешное использование этой уязвимости могло привести к серьёзному нарушению безопасности облачных и CLI-систем или к масштабной утечке данных из локальных приложений.
Как отмечают эксперты Noma, суть проблемы в том, что ИИ-помощник трактует метаданные, включая непроверенные, как исполняемые указания.
В результате даже обычный запрос к искусственному интеллекту может стать каналом для внедрения вредоносных команд.
Поскольку MCP служит связующим звеном между крупной языковой моделью (LLM) и локальной средой, проблема связана с нарушением доверия в контексте, поэтому уязвимость классифицировали как «инъекцию мета-контекста».
«Шлюз MCP не может отличить информационные метаданные (например, обычную метку Docker) от заранее авторизованной исполняемой команды», — пишет Леви. — «Внедряя вредоносные инструкции в эти поля метаданных, злоумышленник способен взять под контроль процесс принятия решений ИИ».
В гипотетическом сценарии атаки злоумышленник может создать Docker-образ со зловредными командами, встроенными в поля LABEL файла Dockerfile.
Когда пользователь запрашивает у Ask Gordon информацию об этом образе, Gordon считывает его метаданные, интерпретирует их как инструкции и отправляет на шлюз MCP.
Шлюз воспринимает эти команды как стандартный запрос от доверенного источника и запускает необходимые злоумышленнику инструменты MCP без дополнительной верификации.
Команда, включая вредоносный код, выполняется с правами текущего пользователя Docker.
Аналогичным способом возможна эксплуатация уязвимости в Docker Desktop для получения конфиденциальной информации о системе жертвы — списка установленных программ, данных о контейнерах, параметрах Docker, подключенных томах и сетевой конфигурации.
«Это архитектурный недостаток, схожий с отсутствием валидации пользовательских данных в классическом программном обеспечении, — отмечает Михаил Зайцев, специалист по кибербезопасности компании SEQ. — Можно не сомневаться, что злоумышленники уже ведут поиск уязвимостей в решениях, связанных с искусственным интеллектом. Их использование способно привести к более серьёзным и устойчивым последствиям, чем эксплуатация ошибок в традиционном ПО. Внедрение любого ИИ-продукта требует длительного и скрупулёзного тестирования на предмет уязвимостей перед развёртыванием, однако коммерческие интересы нередко вынуждают действовать иначе».
Разработчики Docker исправили данные уязвимости в обновлении 4.50.0, выпущенном в ноябре 2025 года. Одновременно была устранена ещё одна уязвимость, связанная с внедрением промптов, которую обнаружила компания Pillar Security. Она давала возможность злоумышленникам взять под контроль ИИ-ассистента и похитить чувствительные данные путём модификации метаданных репозитория Docker Hub с использованием вредоносных инструкций.
