Investigadores revelan cómo una simple etiqueta de metadatos en una imagen de Docker podía secuestrar al asistente de IA, obligándolo a ejecutar comandos maliciosos sin que el usuario se diera cuenta.
La promesa de la Inteligencia Artificial en el desarrollo era automatizar tareas aburridas; la realidad es que también ha automatizado las brechas de seguridad. Hoy 3 de febrero de 2026, los detalles de una vulnerabilidad crítica (ahora parcheada) en Ask Gordon, el asistente de IA integrado en Docker Desktop y CLI.
Bautizada como “DockerDash”, esta vulnerabilidad expone un fallo fundamental en la arquitectura de confianza de los agentes de IA modernos: la incapacidad de distinguir entre instrucciones del dueño legítimo y trampas dejadas en el código fuente.
El Mecanismo: Inyección de Meta-Contexto
A diferencia de un ataque tradicional de desbordamiento de búfer, DockerDash es un ataque de lógica cognitiva.
- La Trampa: El atacante publica una imagen de Docker en un repositorio público (como Docker Hub). Dentro del Dockerfile, incrusta instrucciones maliciosas en los campos de metadatos LABEL (que normalmente se usan para descripciones inofensivas).
- El Cebo: Un desarrollador descarga la imagen y le pregunta a Ask Gordon: “¿Qué hace esta imagen?” o “Analiza este contenedor”.
- La Ejecución: Gordon lee los metadatos para responder. Sin embargo, debido a una falta de sanitización en el MCP (Model Context Protocol), el asistente interpreta el texto malicioso de la etiqueta no como datos a leer, sino como instrucciones a ejecutar.
- El Impacto: El MCP Gateway, que conecta la IA con el sistema operativo, ejecuta las instrucciones con los privilegios del usuario de Docker. Esto permite al atacante lograr Ejecución Remota de Código (RCE) en el host o exfiltrar datos sensibles sobre la topología de la red y configuraciones internas.
¿Por qué falló la IA?
El Gateway MCP no puede distinguir entre metadatos informativos y una instrucción interna preautorizada. Es un problema de Contexto: la IA confía ciegamente en los datos que ingiere. Al no existir una validación de “Zero-Trust” en la capa de procesamiento de lenguaje, el atacante secuestra el proceso de razonamiento de la IA (Prompt Injection Indirecto) para saltarse las barreras de seguridad.
Solución y Mitigación
Docker ha actuado responsablemente parcheando este fallo en la versión 4.50.0 de Docker Desktop, lanzada discretamente a finales de 2025 pero cuyos detalles técnicos se liberan hoy para dar tiempo a la adopción.
Recomendaciones
- Actualizar: Verifica que tu Docker Desktop esté en la versión 4.50.0 o superior inmediatamente.
- Desconfianza por Defecto: Nunca utilices asistentes de IA para analizar imágenes o repositorios de fuentes no confiables sin antes inspeccionarlos manualmente en un entorno aislado (sandbox).
- Riesgo de Cadena de Suministro: Entiende que los metadatos de los contenedores ahora son un vector de ataque. Las herramientas de escaneo de vulnerabilidades deben evolucionar para detectar “Prompts Maliciosos” incrustados en etiquetas y comentarios de código.
