Eine ernste Schwachstelle, die Ask Gordon, der künstliche Intelligenz Assistent integriert in die Docker Desktop und Dockers CLI. Sicherheitsermittler nannten das Scheitern als Docker Das und zeigte, dass ein Angreifer mit einer relativ einfachen Technik scheinbar harmlose Metadaten in ausführbare Anweisungen umwandeln konnte, die in der Umgebung des Opfers liefen oder sensible Informationen extrahierten.
Der Ausfall wurde vom Noma Labs-Team in einem technischen Bericht beschrieben und analysiert, dass dokumentiert, wie ein schädliches Etikett in den Metadaten eines Docker-Bildes (z.B. ein LABEL-Feld in der Dockerdatei) durch die Schichten des Stapels verbreitet werden kann, bis es eine Codeausführung oder Datenleckage verursacht. Docker veröffentlichte eine Korrektur in der Version 4,50,0, so dass die Aktualisierung auf diese Version oder darüber ist die erste Maßnahme, die Manager und Entwickler nehmen sollten.
Die Ursache des Problems war nicht ein traditioneller Laufzeitversagen, sondern ein kontextuelles Vertrauensproblem zwischen dem IA-Assistenten und den Elementen, die er verstand. Frag Gordon liest Metadaten aus den Bildern, um Erklärungen, Vorschläge und Befehle zu geben. Im Falle von DockerDash wurden diese Metadaten nicht als Katalogdaten behandelt, sondern als Anweisungen, die der Assistent einer Zwischenschicht namens MCP Gateway (Model Context Protocol) übertragen konnte, die als Brücke zwischen Sprachmodell und lokalen Werkzeugen fungiert. In Abwesenheit einer strengen Überprüfung, welche Metadaten lediglich informativ waren und welche ausgeführt werden könnten, könnte ein schädlicher Schauspieler "Anweisungen" in ein LABEL einfügen und sie später ausführen lassen.
Der von den Forschern beschriebene Angriff findet in einer Kette statt: Ein Angreifer baut und publiziert ein Docker-Bild mit modifizierten LABEL-Feldern, um schädliche Anweisungen einzubeziehen; dann, wenn ein Benutzer Ask Gordon auf diesem Bild konsultiert, der Assistent verarbeitet und resendiert den Inhalt zum MCP-Gateway, als wäre es eine legitime Anfrage; schließlich ruft das Gateway MCP-Tools an, die Aktionen mit den Privilegien der Benutzers ausführen. Das Ergebnis kann von der Fernausführung von Befehlen in Cloud- oder CLI-Umgebungen bis hin zur internen Informationsgewinnung in Desktop-Einrichtungen sein.
Neben der Möglichkeit der Ausführung zeigten Forscher, wie die gleiche Route genutzt werden könnte, um sensible Details der Umgebung zu sammeln: Containerlisten und Konfigurationen, Routen, installierte Werkzeuge und Netzwerktopologie. In Docker Desktop-Umgebungen, wo Ask Gordon mit theoretisch nur Lesegenehmigungen arbeitet, können diese Konsultationen eine Menge nützlicher Daten für einen Angreifer in späteren Phasen des Angriffs offenbaren.
Die Autoren des Funds prägten den Begriff Meta-Context-Injektion diese Art von Missbrauch zu beschreiben: ein klassischer Fehler wird nicht im Speicher oder Überlauf ausgenutzt, aber die Fähigkeit, böswilligen Kontext, den das System als Teil seiner operativen Argumentation interpretiert, einzufügen. Es ist eine moderne Variante von Befehlsinjektionen, angepasst an Architekturen, die Sprachmodelle und externe Werkzeuge kombinieren.
Docker und die Verantwortlichen für das MCP-Protokoll haben bereits Korrekturen und Empfehlungen veröffentlicht, aber über den sofortigen Patch hinaus lässt der Vorfall relevante Lektionen. Der erste ist, dass Einträge aus "zuverlässigen" Quellen - beispielsweise Bildrepositorien oder Metadatenfelder - mit der gleichen Skepsis behandelt werden sollten wie jede unbekannte Benutzereingabe. Die Durchführung strenger Validierungen, Mindestgenehmigungsrichtlinien und Metadatenintegritätskontrollen ist unerlässlich.
Eine weitere Lehre ist architektonisch: Brücken zwischen IA-Modellen und lokalen Ressourcen (wie MCP Gateway) benötigen mehr feine Authentifizierungs- und Autorisierungsmechanismen. In diesem Fall ließ der Mangel an Unterscheidung zwischen Informationsdaten und ausführbaren Bestellungen die Behandlungskette schädliche Anweisungen ohne zusätzliche Sicherheitsketten akzeptieren und verbreiten. Einschränkung, welche Werkzeuge aufgerufen werden können, erfordern explizite Benutzerbestätigungen für empfindliche Aktionen und Audit-Invocation sind Maßnahmen, die die Angriffsfläche reduzieren.
Wenn Sie in die technische Analyse gehen möchten, können Sie den Noma Labs-Bericht lesen, der die Betriebsrouten und die Risikovektoren nähert: DockerDash Bericht - Noma Labs. Es wird auch empfohlen, Dockers Dokumentation zu Ask Gordon und die Notizen aus der Version zu überprüfen, die das Problem korrigieren: Frag Gordon - Docker und Anmerkungen zu Version 4.50.0. Um die Gesamtrisiken von Injektionen an IA-Besucher besser zu verstehen, hält OWASP nützliche Ressourcen für diese Art von Angriff: OWASP - Prompt Injection Cheat Sheet.
In der Praxis ist es zweckmäßig, vor der Wiederaufnahme auf einem Bild oder automatisierten Antworten mehrere Abwehre anzuwenden: Überprüfen Sie den Ursprung der Bilder und bevorzugen Unterschriften und sicheren Kanal, scannen Artefakte für ungewöhnliche Inhalte in Metadaten, minimieren Sie die Ausführungsprivilegien für MCP-Tools und benötigen zusätzliche Kontrollen, wenn eine Aktion Änderungen oder Zugriff auf sensible Daten beinhaltet. Diese Maßnahmen beseitigen das Risiko nicht vollständig, sondern erhöhen die Kosten für einen Angreifer erheblich.
Die DockerDash-Folge zeigt auch ein aufstrebendes Risiko: das der IA-Versorgungskette. Wenn Modelle und Teilnehmer beginnen, Entscheidungen zu automatisieren und lokale Fähigkeiten anzurufen, werden anscheinend gutartige Eingaben zu Angriffsvektoren, wenn sie nicht korrekt validiert werden. Kontextinformationen als "vertrauen" ohne Validierung zu behandeln ist eine gefährliche Verknüpfung Wir müssen vermeiden, wenn wir IA-Assistenten in produktiven Umgebungen mit Sicherheit einsetzen wollen.
Wenn Sie Docker-Umgebungen verwalten, ist die praktische und dringende Empfehlung einfach: es aktualisiert die geparchte Version und überprüft die Einstellungen von Ask Gordon und MCP. Mittelfristig schlägt sie für alle Daten, die IA-Agenten und -Entwürfe einspeisen, die die Fähigkeit dieser Agenten begrenzen, Maßnahmen automatisch umzusetzen. Technologie bewegt sich schnell und diese Lektionen helfen uns, es nützlich zu halten, ohne Infrastruktur oder Daten zu gefährden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...