Hace poco se hizo pública una vulnerabilidad grave que afectaba a Ask Gordon, el asistente de inteligencia artificial integrado en Docker Desktop y la CLI de Docker. Investigadores de seguridad bautizaron el fallo como DockerDash y demostraron que, con una técnica relativamente sencilla, un atacante podía convertir metadatos aparentemente inocuos en instrucciones ejecutables que terminaban corriendo en el entorno de la víctima o extrayendo información sensible.
La falla fue descrita y analizada por el equipo de Noma Labs en un informe técnico que documenta cómo una etiqueta maliciosa en la metadata de una imagen Docker (por ejemplo, un campo LABEL en el Dockerfile) puede propagarse a través de las capas de la pila hasta provocar ejecución de código o fuga de datos. Docker lanzó una corrección incluida en la versión 4.50.0, por lo que actualizar a esa versión o superior es la primera medida que deben tomar los administradores y desarrolladores.
La raíz del problema no era un fallo tradicional en el runtime, sino un problema de confianza contextual entre el asistente de IA y los elementos que utiliza para razonar. Ask Gordon lee metadatos de las imágenes para ofrecer explicaciones, sugerencias y comandos. En el caso de DockerDash, esos metadatos no eran tratados como datos de catálogo sino como instrucciones que el asistente podía delegar a una capa intermedia llamada MCP Gateway (Model Context Protocol), que actúa como puente entre el modelo de lenguaje y las herramientas locales. Al no existir una verificación rigurosa sobre qué metadatos eran meramente informativos y cuáles se podían ejecutar, un actor malintencionado podía insertar “instrucciones” dentro de un LABEL y conseguir que se ejecutaran posteriormente.
El ataque descrito por los investigadores se desarrolla en cadena: primero, un atacante construye y publica una imagen Docker con campos LABEL modificados para incluir instrucciones dañinas; luego, cuando un usuario consulta a Ask Gordon sobre esa imagen, el asistente procesa y reenvía el contenido al MCP Gateway como si se tratase de una petición legítima; por último, el Gateway invoca herramientas MCP que ejecutan las acciones con los privilegios del entorno de Docker del usuario. El resultado puede ser desde ejecución remota de comandos en entornos cloud o CLI hasta extracción de información interna en instalaciones de escritorio.
Además de la posibilidad de ejecución, los investigadores mostraron cómo la misma vía podía explotarse para recoger detalles sensibles del entorno: listas de contenedores y configuraciones, rutas montadas, herramientas instaladas y topología de red. En entornos de Docker Desktop, donde Ask Gordon funciona con permisos de sólo lectura en teoría, estas consultas pueden revelar una gran cantidad de datos útiles para un atacante en fases posteriores del ataque.
Los autores del hallazgo acuñaron el término Meta-Context Injection para describir esta clase de abusos: no se explota un bug clásico en memoria o desbordamiento, sino la capacidad de insertar contexto malicioso que el sistema interpreta como parte de su razonamiento operativo. Es una variante moderna de las inyecciones de comandos, adaptada a arquitecturas que combinan modelos de lenguaje y herramientas externas.
Docker y los responsables del protocolo MCP ya publicaron correcciones y recomendaciones, pero más allá del parche inmediato, el incidente deja lecciones relevantes. La primera es que las entradas provenientes de fuentes “confiables” —por ejemplo, repositorios de imágenes o campos metadata— deben tratarse con el mismo escepticismo que cualquier entrada de usuario desconocida. Implementar validaciones estrictas, políticas de permiso mínimo y controles de integridad sobre metadatos es imprescindible.
Otra enseñanza es arquitectónica: los puentes entre modelos de IA y recursos locales (como MCP Gateway) necesitan mecanismos de autenticación y autorización más finos. En este caso la falta de distinción entre datos informativos y órdenes ejecutables permitió que la cadena de tratamiento aceptara y propagase la instrucción maliciosa sin cuerdas de seguridad adicionales. Limitar qué herramientas pueden invocarse, exigir confirmaciones explícitas del usuario para acciones sensibles y auditar las invocaciones son medidas que reducen la superficie de ataque.
Si quieres profundizar en el análisis técnico puedes leer el informe de Noma Labs, que detalla las rutas de explotación y los vectores de riesgo: Informe DockerDash — Noma Labs. También es recomendable revisar la documentación de Docker sobre Ask Gordon y las notas de la versión que corrigen el problema: Ask Gordon — Docker y Notas de la versión 4.50.0. Para comprender mejor los riesgos generales de inyecciones dirigidas a asistentes de IA, OWASP mantiene recursos útiles sobre este tipo de ataques: OWASP — Prompt Injection Cheat Sheet.
En la práctica, antes de volver a confiar en una imagen o en respuestas automatizadas conviene aplicar varias defensas: verificar la procedencia de las imágenes y preferir firmas y canal seguro, escanear artefactos en busca de contenido inusual en metadatos, minimizar privilegios de ejecución para herramientas MCP y exigir controles adicionales cuando una acción implica cambios o acceso a datos sensibles. Estas medidas no eliminan el riesgo por completo, pero elevan significativamente el coste para un atacante.
El episodio DockerDash también pone de manifiesto un riesgo emergente: el de la cadena de suministro de IA. Cuando modelos y asistentes empiezan a automatizar decisiones y a invocar capacidades locales, las entradas aparentemente benignas se convierten en vectores de ataque si no se validan correctamente. Tratar la información contextual como “de confianza” sin validación es un atajo peligroso que debemos evitar si queremos desplegar asistentes de IA en entornos productivos con seguridad.
Si gestionas entornos Docker, la recomendación práctica y urgente es sencilla: actualiza a la versión parcheada y revisa las configuraciones de Ask Gordon y MCP. A medio plazo, plantea controles de confianza cero (zero-trust) para todos los datos que alimentan a los agentes de IA y diseña políticas que limiten la capacidad de esos agentes para ejecutar acciones automáticamente. La tecnología avanza rápido y estas lecciones nos ayudan a mantenerla útil sin poner en riesgo la infraestructura ni los datos.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...