Vulnerabilidade DockerDash explorava instruções maliciosas em campos LABEL para manipular o assistente de IA, alcançar ferramentas MCP e executar ações com privilégios do ambiente Docker da vítima.
| Componente | Ask Gordon, assistente de IA integrado ao Docker Desktop e à Docker CLI, em interação com o MCP Gateway e ferramentas MCP. |
| Vetor | Imagem Docker preparada com instruções maliciosas em metadados LABEL, acionadas quando a vítima consulta o Ask Gordon sobre a imagem. |
| Impacto | Execução de código de impacto crítico em ambientes cloud e CLI; em Docker Desktop, exfiltração de dados internos usando permissões de leitura do assistente. |
| Prioridade | Atualizar para Docker Desktop 4.50.0 ou versão posterior e revisar o tratamento de metadados não verificados antes de expô-los a agentes de IA. |
| Versões | A correção foi disponibilizada pela Docker na versão 4.50.0, lançada em novembro de 2025. |
| Artefatos | Campos LABEL em Dockerfile, metadados de imagens Docker, consultas ao Ask Gordon, chamadas ao MCP Gateway e invocações de ferramentas MCP. |
A Docker corrigiu uma vulnerabilidade crítica no Ask Gordon, assistente de inteligência artificial integrado ao Docker Desktop e à Docker Command-Line Interface. A falha, chamada DockerDash por pesquisadores, explorava uma violação de fronteira de confiança entre metadados de imagens Docker, raciocínio do assistente de IA e execução de ferramentas via Model Context Protocol. O ponto central do problema era o tratamento de metadados não verificados como se fossem contexto confiável para tomada de decisão, permitindo que instruções embutidas em campos LABEL influenciassem o fluxo operacional do assistente.
O impacto variava conforme a superfície em uso. Em sistemas cloud e ambientes acionados pela CLI, a exploração bem-sucedida podia resultar em execução remota de código com impacto crítico dentro do contexto de privilégios disponível ao Docker da vítima. No Docker Desktop, a mesma classe de injeção podia ser usada para coleta e exfiltração de informações internas, aproveitando permissões de leitura já disponíveis ao assistente. Os dados citados incluem detalhes de ferramentas instaladas, informações de contêineres, configuração do Docker, diretórios montados e topologia de rede.
A falha foi corrigida com a versão 4.50.0 do Docker Desktop, lançada em novembro de 2025. A mesma versão também corrigiu uma vulnerabilidade separada de prompt injection relacionada à manipulação de metadados de repositórios no Docker Hub, com potencial de sequestro do assistente e exfiltração de dados sensíveis. Em ambos os casos, o problema técnico não depende de uma carga binária sofisticada, mas do fato de que texto aparentemente descritivo pode atravessar camadas de automação e chegar a mecanismos capazes de acionar ferramentas locais.
O fluxo de exploração descrito começa com a publicação de uma imagem Docker contendo instruções maliciosas em campos LABEL do Dockerfile. Esses campos normalmente são usados para descrever autoria, versão, finalidade, documentação ou outras informações auxiliares da imagem. Na falha DockerDash, esse mesmo canal de metadados passa a ser um vetor de injeção quando o Ask Gordon processa a imagem e incorpora o conteúdo ao seu contexto sem distinguir texto informativo de instrução operacional.
Quando a vítima faz uma consulta ao Ask Gordon sobre a imagem preparada, o assistente lê os metadados e interpreta o conteúdo dos campos LABEL. A partir daí, a cadeia depende da forma como o assistente interage com o MCP Gateway, camada intermediária entre agentes de IA e servidores ou ferramentas MCP. O conteúdo injetado é encaminhado como parte do raciocínio ou da solicitação do agente, e o gateway o trata como requisição oriunda de uma fonte confiável, sem uma etapa adicional de validação contextual.
A etapa final ocorre quando a ferramenta MCP correspondente é invocada com os privilégios disponíveis no ambiente Docker da vítima. No cenário de execução de código, isso permite que uma instrução escondida em metadados resulte em ação concreta no ambiente local ou cloud, desde que a consulta ao assistente faça o conteúdo atravessar a cadeia Ask Gordon, MCP Gateway e ferramenta MCP. No cenário de exfiltração em Docker Desktop, o abuso não precisa necessariamente escrever ou executar código arbitrário: ele usa a capacidade de leitura do assistente para coletar detalhes internos do ambiente e encaminhá-los para fora do limite esperado de confiança.
A classe técnica foi caracterizada como Meta-Context Injection. A diferença em relação a uma prompt injection simples está no canal de entrada: a instrução maliciosa não chega como pergunta direta do usuário, mas como metadado de um artefato de software que o assistente deveria tratar como dado não confiável. O risco é agravado porque cadeias modernas de agentes conectam modelos de linguagem a ferramentas locais, gateways e integrações, criando um caminho no qual texto passivo pode virar ação se não houver separação rígida entre contexto descritivo e comando autorizado.
A superfície exposta envolve usuários e ambientes que consultam o Ask Gordon sobre imagens Docker cujos metadados podem ter sido controlados por terceiros. Isso inclui fluxos de análise de imagens recebidas de registros públicos, repositórios compartilhados, pipelines internos que avaliam imagens externas e estáções de desenvolvimento nas quais o Docker Desktop está integrado ao assistente. A condição necessária é que o conteúdo de metadados maliciosos seja lido e incorporado ao contexto do Ask Gordon em uma interação que alcance o MCP Gateway.
O componente afetado não é o mecanismo tradicional de execução de contêineres isoladamente, mas a cadeia de confiança ao redor do assistente de IA. O campo LABEL continua sendo um metadado válido de imagem Docker; o problema aparece quando esse metadado é interpretado como instrução pelo agente e propagado até ferramentas MCP. Isso muda a análise defensiva: a presença de uma imagem aparentemente inofensiva pode ser suficiente para acionar comportamento indevido se o assistente consultar e processar seus metadados sem validação.
A correção disponível na versão 4.50.0 define um marco operacional claro para inventário e resposta. Ambientes com Docker Desktop ou Docker CLI que fazem uso do Ask Gordon antes dessa correção devem ser tratados como candidatos a revisão, principalmente quando houve análise de imagens de origem externa. A exposição é mais sensível em ambientes onde o Docker possui acesso a diretórios montados, configurações locais, informações de rede e ferramentas auxiliares acessíveis por integrações MCP.
- Docker Desktop e Docker CLI com Ask Gordon antes da correção 4.50.0.
- Imagens Docker com metadados
LABELcontrolados por terceiros ou por cadeias de publicação pouco verificadas. - Ambientes em que o
MCP Gatewaypermite invocação de ferramentas a partir de solicitações originadas pelo assistente. - Estáções de desenvolvimento com diretórios montados, configuração Docker local e informações de contêineres acessíveis ao assistente.
A investigação defensiva deve partir de três áreas: histórico de imagens consultadas pelo Ask Gordon, conteúdo de metadados associados a essas imagens e rastros de invocação de ferramentas MCP. Como o vetor usa campos LABEL, a análise deve procurar metadados que misturam descrições de imagem com linguagem instrucional direcionada a assistentes, ferramentas, gateways ou execução de ações. O objetivo não é executar ou reproduzir a cadeia, mas identificar imagens que possam ter servido como veículo de instruções não autorizadas.
Em endpoints e estáções de desenvolvimento, a telemetria útil inclui consultas ao Ask Gordon próximas a alterações inesperadas em contêineres, inspeções de configuração, leitura de diretórios montados ou chamadas a ferramentas mediadas por MCP. Em ambientes cloud e CLI, a atenção deve se concentrar em ações disparadas por integrações Docker sem mudança explícita feita por operador humano, principalmente quando ocorreram logo após avaliação de imagem desconhecida. Logs de gateway, quando disponíveis, são importantes para verificar se solicitações foram recebidas como vindas de origem confiável apesar de carregarem conteúdo derivado de metadados.
A investigação também deve separar impacto confirmado de risco potencial. A presença de um LABEL suspeito indica exposição ao vetor, mas não confirma execução de código nem exfiltração. Para confirmar impacto, é necessário correlacionar a leitura do metadado pelo Ask Gordon com invocações de ferramentas MCP, acessos a recursos locais e qualquer comunicação de saída associada à coleta de informações. Em Docker Desktop, sinais de enumeração de ferramentas instaladas, contêineres, configuração Docker, diretórios montados e topologia de rede são mais aderentes ao impacto descrito.
- Metadados
LABELcontendo instruções direcionadas a assistentes de IA, gateways, ferramentas ou ações operacionais. - Consultas ao Ask Gordon envolvendo imagens de origem externa, seguidas de chamadas ao
MCP Gateway. - Invocações de ferramentas MCP sem autorização explícita do operador no mesmo período da análise da imagem.
- Leituras incomuns de configuração Docker, diretórios montados, informações de contêineres e detalhes de rede em estáções com Docker Desktop.
- Ações de Docker CLI ou cloud executadas logo após interação do assistente com uma imagem recém-obtida.
A ação principal é atualizar o Docker Desktop para a versão 4.50.0 ou posterior, garantindo que a correção lançada em novembro de 2025 esteja aplicada. Em ambientes corporativos, a atualização deve ser acompanhada de inventário de estáções e sistemas que usam Ask Gordon, Docker CLI e integrações MCP, porque o risco depende da combinação entre assistente, gateway e ferramentas acessíveis. Sistemas que analisaram imagens externas antes da correção merecem revisão de telemetria, especialmente quando havia diretórios sensíveis montados ou permissões amplas no ambiente Docker.
Além da atualização, a defesa deve tratar metadados de imagens como entrada não confiável para qualquer agente de IA. Campos LABEL, descrições de repositório e outros textos associados a artefatos de supply chain precisam ser normalizados, delimitados e impedidos de acionar ferramentas diretamente. A fronteira correta é considerar esses dados como conteúdo para leitura e classificação, não como instruções autorizadas. Quando ferramentas MCP estiverem disponíveis, cada chamada deve passar por validação explícita de intenção, escopo e permissão, em vez de herdar confiança apenas porque foi encaminhada por um assistente.
A contenção deve incluir revisão de permissões do Docker, redução de diretórios montados por padrão e limitação das ferramentas MCP acessíveis a assistentes de IA. Ambientes de desenvolvimento costumam acumular credenciais, configurações locais e informações de infraestrutura; por isso, a separação entre análise de imagem e acesso a recursos locais precisa ser reforçada. Se houver indício de exfiltração, a resposta deve priorizar identificação dos tipos de dados acessados, rotação de segredos potencialmente expostos, revisão de configurações Docker e validação de que não houve execução inesperada em sistemas cloud ou CLI.
- Aplicar Docker Desktop 4.50.0 ou versão posterior em todos os sistemas que usam Ask Gordon.
- Inventariar integrações com
MCP Gatewaye restringir ferramentas acessíveis ao assistente por padrão. - Tratar
LABEL, descrições de repositório e metadados de imagem como dados não confiáveis, nunca como instruções autorizadas. - Revisar logs de consultas ao Ask Gordon e chamadas MCP em janelas nas quais imagens externas foram analisadas.
- Reduzir permissões locais do Docker, diretórios montados e acesso do assistente a informações de configuração sensíveis.
- Rotacionar segredos se a investigação indicar leitura ou exposição de configurações, diretórios montados ou dados de ambiente.
0 Comentários