Los investigadores de ciberseguridad han detallado una falla de seguridad parcheada que afecta a Ask Gordon, el asistente de inteligencia artificial (IA) integrado en Docker Desktop y la interfaz de línea de comandos (CLI) de Docker. Esta falla podría explotarse para ejecutar código o filtrar datos confidenciales.
Esta vulnerabilidad crítica recibió el nombre en código DockerDash de la empresa de ciberseguridad Noma Labs. Docker resolvió este problema con el lanzamiento de la versión 4.50.0 en noviembre de 2025.
«Con DockerDash, se puede usar una única etiqueta de metadatos maliciosos en una imagen de Docker para comprometer un entorno Docker a través de un simple ataque de tres pasos: Gordon AI lee e interpreta las instrucciones maliciosas, las reenvía a una puerta de enlace MCP (Protocolo de contexto modelo) y las ejecuta a través de herramientas MCP», dijo Sasi Levi, jefe de investigación de seguridad de Noma, en un informe compartido con The Hacker News.
«Aprovechando la arquitectura actual del agente y de la puerta de enlace MCP, todas las etapas ocurren sin validación».
La explotación exitosa de esta vulnerabilidad podría resultar en la ejecución remota de código con un alto impacto en los sistemas CLI y en la nube o en la divulgación de datos con un alto impacto en las aplicaciones de escritorio.
Según Noma Security, el problema surge del hecho de que el asistente de IA trata los metadatos no verificados como comandos ejecutables, lo que permite que los metadatos se propaguen a través de varias capas sin verificación, lo que permite a los atacantes eludir los límites de seguridad. Como resultado, consultas simples de IA abren la puerta a la ejecución de herramientas.
Si el MCP actúa como tejido conectivo entre el modelo lingüístico a gran escala (LLM) y el entorno local, el problema es una falta de confianza en el contexto. Este problema se caracteriza como un caso de inyección de metacontexto.
«MCP Gateway no puede distinguir entre metadatos informativos (como las ETIQUETAS Docker estándar) e instrucciones internas ejecutables previamente aprobadas», dijo Levi. «Al incorporar instrucciones maliciosas en estos campos de metadatos, los atacantes pueden secuestrar el proceso de inferencia de la IA».
En un escenario de ataque hipotético, un atacante podría aprovechar una violación grave de los límites de confianza en la forma en que Ask Gordon analiza los metadatos del contenedor. Para lograr esto, el atacante crea una imagen de Docker maliciosa con instrucciones incrustadas en el campo Dockerfile LABEL.
Los campos de metadatos pueden parecer inofensivos, pero cuando Ask Gordon AI los procesa, se convierten en vectores de inyección. La cadena de ataque de ejecución del código es la siguiente:
El atacante expone una imagen de Docker con instrucciones LABEL armadas en el Dockerfile. Cuando la víctima solicita la imagen a Ask Gordon AI, Gordon lee los metadatos de la imagen, incluidos todos los campos LABEL, aprovechando la incapacidad de Ask Gordon para distinguir entre descripciones de metadatos legítimas e instrucciones maliciosas integradas. Gordon envía las instrucciones analizadas a MCP, una capa de middleware entre el agente de IA y el servidor MCP. Pide a Gordon que te transporte a Gateway. MCP Gateway interpreta esto como una solicitud estándar de una fuente confiable y llama a la herramienta MCP especificada sin ninguna validación adicional. La herramienta MCP ejecuta comandos con los privilegios Docker de la víctima, lo que da como resultado la ejecución del código.
Esta vulnerabilidad de extracción de datos utiliza la misma falla de inyección rápida como arma, pero apunta a la implementación Docker Desktop de Ask Gordon y aprovecha los privilegios de solo lectura del asistente para capturar datos internos confidenciales sobre el entorno de la víctima utilizando la herramienta MCP.
La información recopilada puede incluir detalles sobre herramientas instaladas, detalles del contenedor, configuración de Docker, directorios montados y topología de red.
Vale la pena señalar que la versión 4.50.0 de Ask Gordon también resuelve la vulnerabilidad de inyección rápida descubierta por Pillar Security. Esta vulnerabilidad podría permitir a un atacante secuestrar el Asistente y filtrar datos confidenciales modificando los metadatos del repositorio de Docker Hub con instrucciones maliciosas.
«La vulnerabilidad de DockerDash resalta la necesidad de tratar el riesgo de la cadena de suministro de IA como una amenaza importante en la actualidad», dijo Levi. «Esto demuestra que se pueden utilizar fuentes de entrada confiables para ocultar cargas maliciosas que manipulan fácilmente la ruta de ejecución de la IA. Para mitigar esta nueva clase de ataques, se debe implementar una validación de confianza cero para todos los datos contextuales proporcionados a los modelos de IA».
Source link
