Dockerの人工知能アシスタント「Ask Gordon」に存在する重大な脆弱性により、攻撃者がコンテナアプリケーション開発プラットフォームのイメージメタデータに悪意あるコマンドを隠し、それを実行させることが可能になると、セキュリティ研究者らが述べた。
「DockerDash」と名付けられたこの脆弱性は、DockerのAI実行チェーン全体にわたる不備を突くもので、イメージメタデータのラベルに埋め込まれた悪意ある指示がGordon AIアシスタントに読み取られ、どの段階でも検証されないままモデル・コンテキスト・プロトコル(MCP)ツールを通じて実行に回されると、Noma Labsは述べた。この欠陥は、権限レベルに応じて、クラウドおよびコマンドラインシステムでのリモートコード実行、またはデスクトップアプリケーションでのデータ流出を引き起こす。
Noma Labsは9月17日にこの脆弱性をDockerへ報告した。Dockerは10月13日に問題を確認し、11月6日にDocker Desktopバージョン4.50.0で緩和策をリリースしたが、公開はその4カ月後となった。この攻撃は、Noma Labsが「メタ・コンテキスト注入」と呼ぶ手法で成立する。攻撃者はDockerfileのlabelフィールドに武器化した指示を含むDockerイメージを作成し、標準的なメタデータとして見えるそれが、AIシステムに処理されると実行可能なコマンドとして機能する。
リモートコード実行のシナリオでは、攻撃者が、稼働中のコンテナを一覧表示して停止するよう指示する悪意あるラベルを含むDockerイメージを公開する。被害者がそのイメージについてAsk Gordon AIに問い合わせると、アシスタントは埋め込まれたコマンドを含むすべてのメタデータを読み取り、それを正当なユーザー指示として解釈してMCP Gatewayへ転送する。ゲートウェイはその後、DockerのMCPツールを呼び出し、被害者の権限でコマンド列を実行する。
データ流出の経路はDocker Desktopを標的とする。ここではAsk Gordonは読み取り専用権限で動作し、直接のコマンド実行は防がれるものの、情報収集は可能である。攻撃者は、インストール済みMCPツール、コンテナ設定、環境変数、ネットワーク設定、ボリュームマッピングに関するシステム情報を収集するようAIに指示し、そのデータを攻撃者が管理するエンドポイントへ流出させる。
信頼境界はエージェントレベルに置く必要があり、AIシステムは「読むべきデータ」と「実行すべき指示」を区別できなければならないと、Noma SecurityのCTOオフィスのGal MoyalはInformation Security Media Groupに語った。「LLMはそれらを同一に処理するため、無害なコンテキストと悪意ある意図を区別する完璧なシグナルは存在しないのが現実です」とMoyalは述べた。「タスクの範囲、データソース、影響範囲(blast radius)を理解する実行時の強制が必要です。」
従来のセキュリティ監視システムでは、これらの攻撃を検知できないとMoyalは述べた。「EDR(Endpoint Detection and Response)はdocker stopコマンドを見ますが、それは正当な操作で、正当な資格情報です。AIにそれを実行させた汚染されたコンテキストは見えません。ギャップは構造的です。従来のツールはインフラを監視します。AI攻撃は推論を操作します。」
この脆弱性はDockerに限らず、ファイルや外部データを読み取り、ツール呼び出しフレームワークを使用し、読み込んだコンテキストに基づいて意思決定するあらゆるAIシステムに及ぶ。「この脆弱性はDocker固有ではなく、AI固有です」とMoyalは述べた。「毒入りのREADMEを読むGitHub Copilot、顧客データを解析するSalesforce Agentforce、あるいは文書を取り込むあらゆるRAGシステム――いずれも同じ攻撃パターンに対して脆弱です。」
Bugcrowdの最高AI・サイエンス責任者であるDavid Brumleyは、DockerDashは企業がプロンプト注入に対するガードレールを確認せずにAI製品を開発していることを示していると述べた。「単純な悪意あるメタデータがコマンドに変わる、容易な悪用ベクターです」とBrumleyは述べた。「DockerDashは、2026年に確実に大量に出てくるであろう事例の一つです。プロンプト注入に脆弱なパターンは明確で、拡大しています。そして従来のAppSecツールでは容易に捕捉できません。」
Black Duckでセキュリティコンプライアンスおよび監査のシニアマネージャーを務めるRonald Lewisは、AIは従来のシステムとは根本的に異なる攻撃面を提示すると述べた。「攻撃面を評価するための基本は同じですが、入力と出力をどう定義するかという特性は大きく異なり、それを理解しない場合、組織環境に重大なリスクをもたらします」とLewisはISMGに語った。
さらに彼は、AI推論は、オブジェクト定義の想定制約により境界づけられた従来システムと比べて境界が曖昧になっていると付け加えた。攻撃面の捉え方を進化させ、AI由来リスクの非決定的な性質に合わせてリスク思考を転換し、明示的信頼よりも暗黙的信頼を重視する統制を実装する必要性を強調した。
Dockerの緩和戦略は2つの防御を実装している。流出を防ぐためにユーザー提供URLを含むイメージをAsk Gordonが表示できないようブロックすること、そして自動実行チェーンを断ち切るために、MCPツールを実行する前に明示的なユーザー確認を必須にすることだ。
Moyalは中核的な問題を、言語モデルがコンテキストと指示を区別できない点にあると指摘した。「コンテキストウィンドウに読み込まれるものは、信頼されたシステムプロンプトであれ、信頼できないREADMEファイルであれ、すべて同一に処理されます」と彼は述べた。AIモデルが、情報を指示として扱わずに解析するネイティブな仕組みを実装するまで、組織はエージェントの挙動を監視し、アクセスおよび実行能力の周囲にガードレールを強制する外部統制が必要になる。
Dockerユーザーは、研究で開示された両方の脆弱性経路に対処するため、Desktopバージョン4.50.0以降へ直ちにアップグレードするよう推奨されている。
翻訳元: https://www.databreachtoday.com/docker-ai-bug-lets-image-metadata-trigger-attacks-a-30709
