HackerNews 编译，转载请注明出处：

网络安全研究人员披露 Docker 旗下 Ask Gordon 人工智能助手存在一项高危安全漏洞，该漏洞揭示了未经验证的元数据可被转化为可执行指令的攻击路径。

这个问题被Noma Labs命名为DockerDash，它暴露了从模型解释到工具执行的完整AI执行链中的弱点，并突显了随着AI代理更深地嵌入开发工作流而出现的新兴风险。

研究表明，Docker 镜像中仅需一个恶意元数据标签，即可通过三阶段攻击流程攻陷 Docker 环境。

Ask Gordon 会读取该元数据，将解析后的指令转发至模型上下文协议（MCP）网关，网关随即通过 MCP 工具执行该指令。该元数据全程未经过任何验证环节。这种信任机制缺陷使得攻击者无需利用传统软件漏洞，即可绕过安全边界实施攻击。

单一漏洞触发两条攻击路径
Noma Labs发现该漏洞存在统一攻击载体，攻击后果会随 Docker 部署环境的不同而存在差异。

在云端及命令行（CLI）环境中，该漏洞可导致高危级远程代码执行（RCE）。在 Docker 桌面端环境中，Ask Gordon 仅具备只读权限，但通过相同攻击手法，攻击者可实现大规模数据窃取与网络侦察。

DockerDash的核心是Noma Labs所称的元上下文注入。MCP网关旨在将上下文信息传递给大型语言模型，但它无法区分描述性元数据和预先授权内部指令。

攻击者将命令嵌入看似无害的 Docker LABEL 字段中，即可操控 AI 的推理逻辑，将上下文信息转化为具体执行动作。

数据窃取风险与缓解策略
不同环境下攻击影响存在差异，但均具备严重危害性，具体包括：

...