كشف باحثون في مجال الأمن السيبراني عن تفاصيل ثغرة أمنية حرجة، تم علاجها الآن، في Ask Gordon، مساعد الذكاء الاصطناعي المدمج في Docker Desktop وواجهة سطر الأوامر (CLI)، والتي يمكن استغلالها لتنفيذ تعليمات برمجية وسرقة بيانات حساسة.
تمت تسمية هذه الثغرة الأمنية الحرجة بـ DockerDash من قبل شركة Noma Labs المتخصصة في الأمن السيبراني. وقد قامت Docker بمعالجتها بإصدار الإصدار 4.50.0 في نوفمبر 2025.
ثغرة DockerDash: تفاصيل الهجوم والاستغلال
ووفقاً لتقرير صادر عن Noma، يمكن استخدام وصف بيانات تعريف (metadata) واحد ضار في صورة Docker لاختراق بيئة Docker الخاصة بالمستخدمين من خلال هجوم بسيط بثلاث مراحل. يتضمن هذا الهجوم قراءة مساعد Ask Gordon للتعليمات الضارة وتفسيرها، ثم تمريرها إلى بوابة بروتوكول سياق النموذج (MCP Gateway)، والتي تقوم بدورها بتنفيذها عبر أدوات MCP.
ويضيف الباحثون أن هذه المراحل تتم جميعها دون أي عملية تحقق، مما يستغل البنية الحالية للوكلاء وبوابة MCP.
تأثيرات الثغرة الأمنية
يمكن أن يؤدي الاستغلال الناجح لهذه الثغرة إلى تنفيذ تعليمات برمجية عن بعد بتأثير حرج على أنظمة السحابة وواجهة سطر الأوامر، أو سرقة بيانات بتأثير عالٍ على تطبيقات سطح المكتب.
يكمن أصل المشكلة، بحسب Noma، في أن مساعد الذكاء الاصطناعي يتعامل مع بيانات التعريف غير المتحقق منها كأوامر قابلة للتنفيذ. هذا يسمح للتعليمات الضارة بالانتشار عبر طبقات مختلفة دون أي تحقق، مما يمكّن المهاجم من تجاوز الحدود الأمنية. والنتيجة هي أن استعلامًا بسيطًا للذكاء الاصطناعي يفتح الباب لتنفيذ أدوات ضارة.
آلية الهجوم: حقن سياق البيانات الوصفية
تعمل بوابة MCP كحلقة وصل بين نموذج اللغة الكبير (LLM) والبيئة المحلية. تكمن المشكلة هنا في فشل الثقة السياقية، وقد تم وصفها بأنها حالة من “حقن سياق البيانات الوصفية” (Meta-Context Injection).
لا تستطيع بوابة MCP التمييز بين بيانات التعريف المعلوماتية، مثل مجرد وصف META_IMAGE (LABEL)، وبين تعليمات داخلية مسبقة التصريح وقابلة للتشغيل. من خلال تضمين تعليمات ضارة في حقول بيانات التعريف هذه، يمكن للمهاجم اختطاف عملية التفكير الخاصة بالذكاء الاصطناعي.
سيناريو هجوم افتراضي
في سيناريو هجوم افتراضي، يمكن لممثل تهديد استغلال انتهاك حدود الثقة الحرجة في كيفية تحليل Ask Gordon لبيانات تعريف الحاوية. لتحقيق ذلك، يقوم المهاجم بصياغة صورة Docker ضارة مع تعليمات مدمجة في حقول META_IMAGE (LABEL) في Dockerfile.
على الرغم من أن حقول بيانات التعريف قد تبدو غير ضارة، إلا أنها تصبح مسارات للحقن عندما يعالجها مساعد Ask Gordon AI. سلسلة هجوم تنفيذ التعليمات البرمجية تتم على النحو التالي:
يقوم المهاجم بنشر صورة Docker تحتوي على تعليمات META_IMAGE (LABEL) مملوكة في Dockerfile.
عندما يستعلم الضحية من مساعد Ask Gordon AI عن الصورة، يقرأ Ask Gordon بيانات تعريف الصورة، بما في ذلك جميع حقول META_IMAGE (LABEL)، مستفيدًا من عدم قدرة Ask Gordon على التفريق بين أوصاف بيانات التعريف الشرعية والتعليمات الضارة المدمجة.
يقوم Ask Gordon بتمرير التعليمات المفسرة إلى بوابة MCP، وهي طبقة وسيطة تقع بين وكلاء الذكاء الاصطناعي وخوادم MCP.
تفسر بوابة MCP هذه التعليمات كطلب قياسي من مصدر موثوق بها وتستدعي أدوات MCP المحددة دون أي تحقق إضافي.
تقوم أداة MCP بتنفيذ الأمر بصلاحيات Docker الخاصة بالضحية، مما يحقق تنفيذ التعليمات البرمجية.
سرقة البيانات الحساسة
تستخدم ثغرة سرقة البيانات نفس خلل حقن المطالبات، لكنها تستهدف تطبيق Ask Gordon على Docker Desktop لالتقاط بيانات داخلية حساسة حول بيئة الضحية باستخدام أدوات MCP، وذلك بالاستفادة من صلاحيات القراءة فقط الممنوحة للمساعد.
يمكن للمعلومات التي تم جمعها أن تشمل تفاصيل حول الأدوات المثبتة، وتفاصيل الحاويات، وتكوين Docker، والأدلة التي تم تحميلها، والطوبولوجيا الشبكية.
توصيات أمنية
من الجدير بالذكر أن مساعد Ask Gordon، في الإصدار 4.50.0، يعالج أيضًا ثغرة حقن المطالبات التي اكتشفتها Pillar Security، والتي كان يمكن أن تسمح للمهاجمين باختطاف المساعد وسرقة بيانات حساسة عن طريق التلاعب ببيانات تعريف مستودع Docker Hub باستخدام تعليمات ضارة.
تؤكد ثغرة DockerDash على الحاجة إلى التعامل مع مخاطر سلسلة توريد الذكاء الاصطناعي (AI Supply Chain Risk) كتهديد أساسي حالي. فهي تثبت أن مصادر المدخلات الموثوقة يمكن استخدامها لإخفاء حمولات ضارة تتلاعب بسهولة بمسار تنفيذ الذكاء الاصطناعي. يتطلب التخفيف من هذه الفئة الجديدة من الهجمات تنفيذ تحقق “عدم الثقة” (zero-trust validation) على جميع البيانات السياقية المقدمة لنموذج الذكاء الاصطناعي.