12 Марта 2026 08:02 12 Мар 2026 08:02 |

Поделиться

Уязвимость в ИИ-ассистенте Docker позволяла внедрять вредоносный код

Главное - контекст

Исследователи в области кибербезопасности компании Noma Labs опубликовали обзор уже исправленной уязвимости безопасности в Ask Gordon, ИИ-ассистенте, встроенном в Docker Desktop и интерфейс командной строки Docker (CLI).

«Баг» мог использоваться для выполнения произвольного кода и вывода конфиденциальных данных.

Критическая уязвимость получила кодовое название DockerDash.

«Всего одна вредоносная метка метаданных в образе Docker может быть использована для компрометации вашей среды Docker с помощью простой трехэтапной атаки: искусственный интеллект Gordon считывает и интерпретирует вредоносную инструкцию, пересылает ее шлюзу MCP (аббревиатура обозначает протокол контекста модели ИИ), который затем выполняет ее», - отметил Саси Леви (Sasi Levi), руководитель отдела исследований безопасности в Noma, в отчете, предоставленном изданию The Hacker News. - «Валидации данных ни на одном из этих этапов не производится в силу архитектурных особенностей нынешних агентов и самого шлюза MCP, что играет на руку атакующим».

Успешная эксплуатация уязвимости могла привести к критической компрометации облачных и CLI-систем или к серьезной утечке данных из локальных приложений.

Как это работает

По словам специалистов Noma, проблема заключается в том, что ИИ-помощник интерпретирует метаданные - в том числе, непроверенные, как исполняемые команды.

В результате простой запрос от ИИ может быть использован для внедрения вредоносных инструкций.

Поскольку MCP выступает в качестве связующего звена между большой языковой моделью (LLM) и локальной средой, проблема заключается в нарушении контекстного доверия, поэтому уязвимость обозначили как «инъекция мета-контекста».

«MCP Gateway не способен отличить информационные метаданные (например, стандартную метку Docker) от предварительно авторизованной, исполняемой инструкции», - пишет Леви. - «Внедряя вредоносные инструкции в эти поля метаданных, злоумышленник может получить контроль над процессом рассуждения ИИ».

В гипотетическом сценарии атаки злоумышленник может создать образ Docker со встроенными вредоносными инструкциями, вписанными в поля LABEL файла Dockerfile.

Когда жертва запрашивает у Ask Gordon AI информацию об образе, Гордон считывает его метаданные, интерпретирует их как инструкции и пересылает их на шлюз MCP.

Тот интерпретирует эти инструкции как стандартный запрос от доверенного источника и запускает нужные злоумышленнику инструменты MCP без какой-либо дополнительной проверки.

Команда - в том числе, вредоносный код, - выполняется с привилегиями текущего пользователя Docker.

Таким же образом можно эксплуатировать уязвимость в Docker Desktop для извлечения конфиденциальных данных об окружении жертвы - установленных инструментах, сведений о контейнерах, настройках Docker, смонтированных каталогах и топологии сети.

«Речь идет об архитектурном просчете, сопоставимом с отсутствием проверки пользовательского ввода в более традиционных продуктах, - говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Нет никаких сомнений в том, что злонамеренные хакеры также ищут уязвимости в продуктах, связанных с ИИ. Их эксплуатация может приводить к еще более долгоиграющим и трудноустранимым последствиям, чем использование «багов» в более традиционном ПО. Реализацию любого ИИ-решения следовало бы долго и тщательно проверять на слабые места, прежде чем развертывать, но коммерческие соображения часто диктуют совсем другое».

Разработчики Docker устранили эти уязвимости в обновлении 4.50.0 в ноябре 2025 г. Заодно была устранена другая уязвимость внедрения подсказок, обнаруженная компанией Pillar Security. Она позволяла злоумышленникам захватить управление ИИ-ассистентом и выкрасть конфиденциальные данные, изменив метаданные репозитория Docker Hub с помощью вредоносных инструкций.

Роман Георгиев

Поделиться

Короткая ссылка