Docker修復Ask Gordon AI的關鍵漏洞可通過鏡像元數據執行代碼

2026-03-21 網絡安全人工智能 ai Docker

網絡安全研究人員公開披露了影響Docker Desktop和Docker命令行界面中內置AI助手Ask Gordon的一個已修補的安全漏洞詳情，該漏洞可被利用執行代碼并竊取敏感數據。

網絡安全公司Noma Labs將這一關鍵漏洞命名為DockerDash ， Docker在2025年11月發布的4.50.0版本中解決了這一問題。
Noma公司安全研究主管Sasi Levi在發給《黑客新聞》的報告中表示：\"在DockerDash中， Docker鏡像中的單個惡意元數據標簽可以通過簡單的三階段攻擊破壞Docker環境：Gordon AI讀取并解釋惡意指令，將其轉發給MCP網關，后者通過MCP工具執行該指令。每個階段都在零驗證的情況下進行，利用了當前智能體和MCP網關架構的缺陷。 \"
成功利用此漏洞可能導致云和命令行系統的關鍵級遠程代碼執行，或桌面應用的高影響數據泄露。
問題源于AI助手將未驗證的元數據視為可執行命令，允許其在沒有任何驗證的情況下跨不同層傳播，使攻擊者能夠繞過安全邊界。這個問題被稱為元上下文注入。
MCP作為大語言模型與本地環境之間的連接組織，該問題是上下文信任失敗的表現。 Levi指出：\"MCP網關無法區分信息性元數據（如標準Docker標簽）和預授權的可運行內部指令。通過在這些元數據字段中嵌入惡意指令，攻擊者可以劫持AI的推理過程。 \"
在假設的攻擊場景中，威脅行為者可以利用Ask Gordon解析容器元數據時的關鍵信任邊界違規。攻擊者首先在Dockerfile標簽字段中嵌入惡意指令來制作惡意Docker鏡像。雖然元數據字段看似無害，但當由Ask Gordon AI處理時，它們成為注入向量。完整的代碼執行攻擊鏈如下：
攻擊者發布包含在Dockerfile中武器化標簽指令的Docker鏡像。受害者向Ask Gordon AI查詢該鏡像時， Gordon讀取鏡像元數據（包括所有標簽字段），利用Ask Gordon無法區分合法元數據描述和嵌入式惡意指令的缺陷。 Ask Gordon將解析的指令轉發給MCP網關（這是位于AI智能體和MCP服務器之間的中間件層）。 MCP網關將其解釋為來自可信源的標準請求，并調用指定的MCP工具而無需任何額外驗證。 MCP工具以受害者的Docker權限執行命令，實現代碼執行。
數據泄露漏洞利用相同的提示注入缺陷，但針對Ask Gordon的Docker Desktop實現，通過利用助手的只讀權限使用MCP工具來捕獲關于受害者環境的敏感內部數據。收集到的信息可能包括已安裝工具的詳情、容器詳情、Docker配置、掛載目錄和網絡拓撲。
值得注意的是， Ask Gordon版本4.50.0還解決了由Pillar Security發現的另一個提示注入漏洞，該漏洞可能允許攻擊者通過篡改Docker Hub存儲庫元數據中的惡意指令來劫持助手并泄露敏感數據。
Levi表示：\"DockerDash漏洞強調了將AI供應鏈風險視為當前核心威脅的必要性。它證明了可信輸入源可以被用來隱藏易于操縱AI執行路徑的惡意負載。緩解這類新型攻擊需要對提供給AI模型的所有上下文數據實施零信任驗證。 \"
Q&A
Q1：什么是DockerDash漏洞？它有什么危害？
A：DockerDash是影響Docker中Ask Gordon AI助手的關鍵安全漏洞。攻擊者可以通過在Docker鏡像元數據標簽中嵌入惡意指令，導致遠程代碼執行或敏感數據泄露。該漏洞已在Docker 4.50.0版本中修補。
Q2：攻擊者如何利用DockerDash漏洞進行攻擊？
A：攻擊者首先創建包含惡意標簽的Docker鏡像并發布，當用戶向Ask Gordon查詢該鏡像時， AI會讀取元數據并轉發給MCP網關執行，由于缺乏驗證，惡意指令會以用戶權限執行，實現代碼執行或數據泄露。
Q3：如何防護DockerDash漏洞的攻擊？
【Docker修復Ask Gordon AI的關鍵漏洞可通過鏡像元數據執行代碼】A：應立即升級到Docker 4.50.0及以上版本。根據安全專家建議，需要對所有提供給AI模型的上下文數據實施零信任驗證，防止惡意元數據成為注入向量。

推薦閱讀

上一篇：OPPO旗艦降價“太猛了”！2K直屏+五星抗摔+100W，現突降至4739元

下一篇：Commvault推出Geo Shield應對數據主權保護需求