Recentemente, tornou-se pública uma vulnerabilidade grave que afetava Ask Gordon, o assistente de inteligência artificial integrado em Docker Desktop e CLI do Docker. Pesquisadores de segurança batizaram a falha como DockerDash e demonstraram que, com uma técnica relativamente simples, um atacante podia converter metadados aparentemente inocuos em instruções executáveis que terminavam correndo no ambiente da vítima ou trazendo informações sensíveis.
A falha foi descrita e analisada pela equipe de Noma Labs em um relatório técnico que documenta como uma etiqueta maliciosa na metadata de uma imagem Docker (por exemplo, um campo LABEL no Dockerfile) pode se espalhar através das camadas da pilha até provocar execução de código ou fuga de dados. Docker lançou uma correção incluída na versão 4. 50. 0, portanto, atualizar a essa versão ou superior é a primeira medida que devem tomar os administradores e desenvolvedores.
A raiz do problema não era uma falha tradicional no runtime, mas sim um problema de confiança contextual entre o assistente de IA e os elementos que utiliza para raciocinar. Ask Gordon lê metadados das imagens para fornecer explicações, sugestões e comandos. No caso de DockerDash, esses metadados não eram tratados como dados de catálogo, mas como instruções que o assistente podia delegar a uma camada intermédia chamada MCP Gateway (Model Context Protocol), que atua como ponte entre o modelo de linguagem e as ferramentas locais. Ao não existir uma verificação rigorosa sobre quais meta- dados eram meramente informativos e quais poderiam ser executados, um ator mal-intencionado poderia inserir “instruções” dentro de um LABEL e conseguir que fossem executados posteriormente.
O ataque descrito pelos pesquisadores se desenvolve em cadeia: primeiro, um atacante constrói e publica uma imagem Docker com campos LABEL modificados para incluir instruções daninhas; depois, quando um usuário consulta Ask Gordon sobre essa imagem, o assistente processa e reenvia o conteúdo ao MCP Gateway como se se tratasse de uma petição legítima; por último, o Gateway invoca ferramentas MCP que executam as ações com os privilégios do ambiente do Docker do usuário. O resultado pode ser desde a execução remota de comandos em ambientes cloud ou CLI até a extração de informação interna em instalações de desktop.
Além da possibilidade de execução, os investigadores mostraram como a mesma via podia ser explorada para recolher detalhes sensíveis do ambiente: listas de contentores e configurações, rotas montadas, ferramentas instaladas e topologia de rede. Em ambientes de Docker Desktop, onde Ask Gordon funciona com permissões de apenas leitura em teoria, essas consultas podem revelar um grande número de dados úteis para um atacante em fases posteriores do ataque.
Os autores do achado cunharam o termo Meta-Context Injection para descrever esta classe de abusos: não se explora um bug clássico em memória ou transbordamento, mas a capacidade de inserir contexto malicioso que o sistema interpreta como parte de seu raciocínio operacional. É uma variante moderna das injeções de comandos, adaptada a arquiteturas que combinam modelos de linguagem e ferramentas externas.
Docker e os responsáveis pelo protocolo MCP já publicaram correções e recomendações, mas além do adesivo imediato, o incidente deixa lições relevantes. A primeira é que as entradas provenientes de fontes “confiais” – por exemplo, repositórios de imagens ou campos metadata – devem ser tratadas com o mesmo ceticismo que qualquer item de usuário desconhecido. Implementar validações rigorosas, políticas de autorização mínima e controles de integridade sobre metadados é imprescindível.
Outra educação é arquitetônica: pontes entre modelos de IA e recursos locais (como MCP Gateway) precisam de mecanismos de autenticação e autorização mais finos. Neste caso, a falta de distinção entre dados informativos e ordens executáveis permitiu que a cadeia de tratamento aceitasse e propagasse a instrução maliciosa sem cordas de segurança adicionais. Limitar quais ferramentas podem ser invocadas, exigir confirmações explícitas do usuário para ações sensíveis e auditar as invocações são medidas que reduzem a superfície de ataque.
Se você quiser aprofundar a análise técnica, você pode ler o relatório do Noma Labs, que detalha as rotas de exploração e os vetores de risco: Relatório DockerDash — Noma Labs. Também é recomendável rever a documentação do Docker sobre Ask Gordon e as notas da versão que corrigem o problema: Ask Gordon — Docker e Notas da versão 4.50.0. Para melhor compreender os riscos gerais de injeções dirigidas a assistentes de IA, OWASP mantém recursos úteis sobre este tipo de ataques: OWASP — Prompt Injection Cheat Sheet.
Na prática, antes de voltar a confiar numa imagem ou em respostas automatizadas, convém aplicar várias defesas: verificar a proveniência das imagens e preferir assinaturas e canal seguro, digitalizar artefatos em busca de conteúdo incomum em metadados, minimizar privilégios de execução para ferramentas MCP e exigir controles adicionais quando uma ação implica mudanças ou acesso a dados sensíveis. Estas medidas não eliminam completamente o risco, mas aumentam significativamente o custo para um atacante.
O episódio DockerDash também mostra um risco emergente: o da cadeia de fornecimento de IA. Quando modelos e assistentes começam a automatizar decisões e a invocar capacidades locais, as entradas aparentemente benignas tornam-se vetores de ataque se não forem adequadamente validadas. Tentar a informação contextual como “de confiança” sem validação é um atalho perigoso Devemos evitar se queremos colocar assistentes de IA em ambientes produtivos com segurança.
Se você gerencia ambientes Docker, a recomendação prática e urgente é simples: atualiza a versão alterada e revisa as configurações de Ask Gordon e MCP. A médio prazo, levanta controlos de confiança zero (zero-trust) para todos os dados que alimentam os agentes da IA e projeta políticas que limitem a capacidade desses agentes para executar ações automaticamente. A tecnologia avança rapidamente e estas lições nos ajudam a mantê-la útil sem colocar em risco a infraestrutura ou os dados.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...