Docker repareert een kritieke Ask Gordon AI-fout waardoor code-uitvoering via metagegevens van afbeeldingen mogelijk is

Cyberbeveiliging
Docker repareert een kritieke Ask Gordon AI-fout waardoor code-uitvoering via metagegevens van afbeeldingen mogelijk is

Cybersecurity-onderzoekers hebben details bekendgemaakt van een inmiddels gepatchte beveiligingsfout die gevolgen heeft voor Ask Gordon, een kunstmatige intelligentie (AI)-assistent ingebouwd in Docker Desktop en de Docker Command-Line Interface (CLI), die kan worden misbruikt om code uit te voeren en gevoelige gegevens te exfiltreren.

De kritieke kwetsbaarheid heeft een codenaam gekregen DockerDash door cybersecuritybedrijf Noma Labs. Het probleem werd door Docker verholpen met de release van versie 4.50.0 in november 2025.

“In DockerDash kan een enkel kwaadaardig metadatalabel in een Docker-image worden gebruikt om uw Docker-omgeving in gevaar te brengen door middel van een eenvoudige aanval in drie fasen: Gordon AI leest en interpreteert de kwaadaardige instructie, stuurt deze door naar de MCP (Model Context Protocol) Gateway, die deze vervolgens uitvoert via MCP-tools”, zegt Sasi Levi, hoofd veiligheidsonderzoek bij Noma, in een rapport gedeeld met The Hacker News.

“Elke fase vindt plaats zonder enige validatie, waarbij gebruik wordt gemaakt van de huidige agenten en MCP Gateway-architectuur.”

Succesvol misbruik van het beveiligingslek kan leiden tot het uitvoeren van externe code met kritieke impact voor cloud- en CLI-systemen, of tot data-exfiltratie met grote impact voor desktopapplicaties.

Het probleem komt volgens Noma Security voort uit het feit dat de AI-assistent niet-geverifieerde metadata als uitvoerbare opdrachten behandelt, waardoor deze zich zonder enige validatie door verschillende lagen kan verspreiden, waardoor een aanvaller beveiligingsgrenzen kan omzeilen. Het resultaat is dat een eenvoudige AI-query de deur opent voor het uitvoeren van tools.

Omdat MCP fungeert als bindweefsel tussen een groot taalmodel (LLM) en de lokale omgeving, is het probleem een ​​falend contextueel vertrouwen. Het probleem wordt gekarakteriseerd als een geval van meta-contextinjectie.

“MCP Gateway kan geen onderscheid maken tussen informatieve metadata (zoals een standaard Docker LABEL) en een vooraf geautoriseerde, uitvoerbare interne instructie”, aldus Levi. “Door kwaadaardige instructies in deze metadatavelden in te sluiten, kan een aanvaller het redeneringsproces van de AI kapen.”

In een hypothetisch aanvalsscenario kan een bedreigingsacteur misbruik maken van een kritieke schending van de vertrouwensgrens in de manier waarop Ask Gordon containermetagegevens parseert. Om dit te bereiken, maakt de aanvaller een kwaadaardige Docker-image met ingebedde instructies in Dockerfile LABEL-velden.

Hoewel de metadatavelden misschien onschadelijk lijken, worden ze vectoren voor injectie wanneer ze worden verwerkt door Ask Gordon AI. De aanvalsketen voor code-uitvoering is als volgt:

  • De aanvaller publiceert een Docker-image met bewapende LABEL-instructies in het Docker-bestand
  • Wanneer een slachtoffer Ask Gordon AI vraagt ​​naar de afbeelding, leest Gordon de metadata van de afbeelding, inclusief alle LABEL-velden, waarbij hij profiteert van het onvermogen van Ask Gordon om onderscheid te maken tussen legitieme metadatabeschrijvingen en ingebedde kwaadaardige instructies.
  • Vraag Gordon om de geparseerde instructies door te sturen naar de MCP-gateway, een middlewarelaag die zich tussen AI-agents en MCP-servers bevindt.
  • MCP Gateway interpreteert het als een standaardverzoek van een vertrouwde bron en roept de gespecificeerde MCP-tools aan zonder enige aanvullende validatie
  • De MCP-tool voert de opdracht uit met de Docker-rechten van het slachtoffer, waardoor code-uitvoering wordt bereikt

De kwetsbaarheid voor data-exfiltratie maakt gebruik van dezelfde snelle injectiefout, maar richt zich op de Docker Desktop-implementatie van Ask Gordon om gevoelige interne gegevens over de omgeving van het slachtoffer vast te leggen met behulp van MCP-tools door gebruik te maken van de alleen-lezen-rechten van de assistent.

De verzamelde informatie kan details bevatten over geïnstalleerde tools, containerdetails, Docker-configuratie, gekoppelde mappen en netwerktopologie.

Het is vermeldenswaard dat Ask Gordon versie 4.50.0 ook een door Pillar Security ontdekte kwetsbaarheid voor snelle injectie oplost, waardoor aanvallers de assistent konden kapen en gevoelige gegevens konden exfiltreren door met kwaadaardige instructies met de metagegevens van de Docker Hub-repository te knoeien.

“De DockerDash-kwetsbaarheid onderstreept uw ​​noodzaak om AI Supply Chain Risk te behandelen als een huidige kerndreiging”, aldus Levi. “Het bewijst dat je vertrouwde invoerbronnen kunnen worden gebruikt om kwaadaardige ladingen te verbergen die het uitvoeringspad van AI gemakkelijk kunnen manipuleren. Om deze nieuwe klasse aanvallen te beperken, is het implementeren van zero-trust-validatie vereist op alle contextuele gegevens die aan het AI-model worden geleverd.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel-telefoons krijgen een geoptimaliseerde batterijduur met Android 16 QPR3

Google Gemini Live krijgt een zwevende pil-gebruikersinterface voor betere multitasking

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]