Pesquisadores em cibersegurança divulgaram detalhes de uma vulnerabilidade crítica, agora corrigida, que afetava o Ask Gordon, um assistente de inteligência artificial (AI) integrado ao Docker Desktop e à interface de linha de comando (CLI) do Docker.
A falha podia ser explorada para executar código remotamente e extrair dados sensíveis.
Batizada de DockerDash pela empresa de segurança Noma Labs, a vulnerabilidade foi corrigida com o lançamento da versão 4.50.0 do Docker, em novembro de 2025.
Segundo Sasi Levi, líder da equipe de pesquisa da Noma, o ataque ocorre em três etapas simples: o Ask Gordon lê e interpreta um rótulo (metadata label) malicioso em uma imagem Docker e encaminha o comando para o MCP (Model Context Protocol) Gateway, que o executa por meio das ferramentas MCP — tudo isso sem qualquer validação.
Essa falha permitia que invasores executassem código remotamente em ambientes em nuvem e sistemas CLI, além de possibilitar o roubo de dados em aplicações desktop.
O problema está no fato de o assistente AI tratar metadados não verificados como comandos executáveis, o que facilita a propagação do ataque entre diferentes camadas do sistema, sem barreiras de segurança.
O MCP funciona como uma camada intermediária entre um large language model (LLM) e o ambiente local, mas, nesse caso, houve uma falha grave na validação do contexto.
A equipe da Noma define o problema como uma injeção de meta-contexto (Meta-Context Injection).
De acordo com Levi, o MCP Gateway não discrimina entre metadados informativos — como os rótulos padrão do Docker — e instruções internas pré-autorizadas, permitindo que comandos maliciosos sejam embutidos nos metadados e, assim, sequestrando o processo de raciocínio da AI.
Em um cenário hipotético de ataque, o invasor cria uma imagem Docker contendo instruções maliciosas nos campos LABEL do Dockerfile.
Embora esses campos pareçam inofensivos, eles se tornam vetores para injeção de código quando processados pelo Ask Gordon.
O fluxo do ataque é o seguinte:
1. O invasor publica uma imagem Docker com instruções maliciosas incorporadas no LABEL do Dockerfile.
2. Uma vítima consulta o Ask Gordon sobre essa imagem; o assistente lê os metadados, incluindo os LABELs maliciosos, pois não consegue diferenciar descrições legítimas de comandos embutidos.
3. O Ask Gordon encaminha as instruções interpretadas ao MCP Gateway, que atua como um middleware entre os agentes de AI e os servidores MCP.
4. O MCP Gateway interpreta o comando como uma requisição válida de fonte confiável e invoca as ferramentas MCP indicadas, sem validação adicional.
5. A ferramenta MCP executa o comando com as permissões do ambiente Docker da vítima, permitindo a execução remota de código.
Além disso, uma vulnerabilidade de extração de dados explorava a mesma falha de injeção de prompt para atingir a implementação do Ask Gordon no Docker Desktop.
Isso permitia capturar informações sensíveis do ambiente da vítima, como detalhes das ferramentas instaladas, configurações de containers, diretórios montados e a topologia da rede, usando as permissões de leitura do assistente.
A versão 4.50.0 do Ask Gordon também corrigiu outra vulnerabilidade de prompt injection identificada pela Pillar Security.
Essa falha permitia que atacantes sequestrassem o assistente e extraíssem dados sensíveis por meio da manipulação dos metadados do repositório Docker Hub com comandos maliciosos.
Para Levi, a DockerDash demonstra a importância de tratar o risco na cadeia de fornecimento de AI (AI Supply Chain Risk) como uma ameaça real e iminente.
Ele destaca que fontes de dados consideradas confiáveis podem esconder payloads maliciosos capazes de manipular facilmente a execução da AI.
A mitigação desse tipo de ataque passa necessariamente pela implementação de validação zero-trust em todos os dados contextuais fornecidos ao modelo AI.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...