🚨 NeuralTrust reconocido por Gartner
Seguridad Runtime (GAF)
Prompt GuardProtege y modera tus aplicaciones de GenAI
Behavioral Threat DetectionDetecta amenazas de comportamiento en GenAI
Bot DetectionBloquea scrapers y bots sintéticos en tiempo real
Sensitive Data MaskingEnmascara automáticamente datos sensibles y personales
Moderation & Policy EngineAplica políticas personalizadas en sistemas GenAI
AI GatewayUnifica y controla tu infraestructura GenAI
Seguridad de Agentes
Guardian AgentsUna fuerza de agentes de seguridad para controlar las acciones de todos los agentes
Agent Security PostureMonitoreo continuo y control de agentes y herramientas
MCP GatewayControla el acceso de agentes a herramientas y datos
MCP ScannerEscanea y protege el código de tus servidores MCP
Detección de Amenazas
Red TeamingSimula ataques para probar defensas de IA
Alerting & MonitoringRecibe alertas en tiempo real sobre el comportamiento de tu IA
Model Code ScannerDetecta vulnerabilidades en el código del modelo
Tracing & AnalyticsRastrea el comportamiento de la IA en tiempo real
Shadow AIDetecta y bloquea el uso no autorizado de IA
Recursos
Centro de recursos
Guías
Blog
Newsletter
Desarrolladores
Documentación
Empresa
Sobre nosotros
Socios
Careers
Noticias
Contacto
Redes sociales
Obtener demo
Volver

Gordon AI es más que un asistente de Docker

Alessandro Pignati 29 de abril de 2026
Compartir
Gordon AI es más que un asistente de Docker

Docker lanzó recientemente Gordon, un asistente impulsado por IA diseñado para ser el compañero definitivo en orquestación de contenedores. Según la documentación oficial de Docker, Gordon está construido para "actuar sobre tus workflows de Docker", centrado específicamente en explicar conceptos, escribir Dockerfiles y depurar fallos en contenedores. Se presenta como una herramienta especializada y orientada a intención para operar en el entorno de alta criticidad de la gestión de infraestructura.

Sin embargo, existe una brecha relevante entre marketing y realidad en el estado beta actual de la herramienta. Al interactuar con Gordon, pronto descubres que es una enciclopedia generalista a la que nadie le dijo que se mantuviera en su carril. Por ejemplo, en lugar de ayudar a optimizar una build multi-stage, Gordon es perfectamente capaz de ofrecer una explicación histórica detallada del incidente nuclear de Palomares de 1966, incluyendo el papel de "Paco el de la bomba", el pescador español que ayudó a recuperar una bomba de hidrógeno perdida.


Esta "crisis de identidad" es la primera bandera roja para cualquier profesional de seguridad. Cuando una herramienta embebida en tu entorno principal de desarrollo, con potencial de gestionar imágenes, volúmenes y redes, también puede actuar como historiador de la Guerra Fría, hay una falta fundamental de domain grounding. Para una empresa, esto no es solo un comportamiento curioso: es evidencia de que el agente carece de restricciones arquitectónicas necesarias para distinguir entre una petición técnica legítima y una consulta distractora fuera de alcance.

De Caperucita Roja a McDonald's

En seguridad de IA, llamamos a este fenómeno "capability leak". Ocurre cuando un sistema de IA, pese a estar etiquetado para una función empresarial específica, no logra suprimir el conocimiento amplio y no restringido de su LLM subyacente. Se ve claramente cuando Gordon, una herramienta supuestamente enfocada en containerización, recibe la petición de narrar "Caperucita Roja". No solo la responde, sino que lo hace con el estilo narrativo de un chatbot generalista, abandonando por completo su identidad técnica.


Es la misma vulnerabilidad fundamental que afectó recientemente al chatbot de soporte de McDonald's. Lo que debía ser una interfaz simple de soporte de pedidos fue "jailbreakeado" rápidamente por usuarios que lo llevaron a escribir código complejo y debatir temas filosóficos. Casos similares en Chipotle y Alcampo muestran que cuando un agente "breaks character" no es una distracción inocua: es señal de que el agente es, en esencia, un motor generalista con una máscara de marca superficial.

Cuando un agente carece de restricción estricta de dominio, se convierte en pasivo para integridad de marca y foco operativo. Si un chatbot para pedidos de Big Mac acaba actuando como asistente de coding, o un asistente Docker acaba contando cuentos, el modelo de confianza del software empresarial se rompe. Estos leaks demuestran que muchos despliegues actuales de IA carecen de restricciones arquitectónicas profundas necesarias para mantener foco en objetivos de negocio concretos, quedando vulnerables a desviaciones radicales respecto a su propósito original.

Recetas de pizza y funciones de Python

El riesgo de un agente sin restricciones se aprecia con mayor claridad al observar cómo maneja solicitudes aparentemente inocuas. En nuestras pruebas, Gordon no tuvo problema en dar recetas detalladas de pizza y escribir funciones genéricas de Python sin relación con Docker. Aunque puedan parecer "Easter eggs" curiosos, representan una vulnerabilidad técnica importante: expansión masiva de la superficie de ataque del agente.


Cada capacidad "inocente" que un agente posee puede convertirse en herramienta para un atacante. Si se permite que Gordon actúe como intérprete Python generalista o cuentacuentos, se abre un rango mucho mayor de contextos para evadir sus instrucciones de seguridad centrales. Un atacante no necesita pedirle "borra un contenedor" de forma directa. Puede ocultar intención maliciosa dentro de una petición compleja de calculadora de pizza en Python o en una narrativa histórica, guiando gradualmente al agente hacia acciones no autorizadas.


En un sistema realmente agéntico, donde la IA tiene poder para interactuar con entorno local, esta falta de restricción es una responsabilidad seria. Al no limitar el conocimiento de Gordon al dominio Docker, el sistema se vuelve significativamente más difícil de defender. Cuantos más "roles" pueda interpretar un agente, más formas existen de engañarlo para romper sus reglas primarias de seguridad. En seguridad de infraestructura, una herramienta que puede hacer "cualquier cosa" es una herramienta que puede manipularse para hacer "todo".

Guardrails arquitectónicos

Asegurar un sistema agéntico requiere un cambio de mentalidad: debemos dejar de tratar agentes como "chatbots que hacen cosas" y empezar a tratarlos como "componentes software con interfaces probabilísticas". Como muestran Gordon y McDonald's, un simple system prompt —"eres un experto en Docker"— se supera con facilidad. Para construir agentes realmente seguros, las organizaciones deben aplicar una estrategia de defensa multicapa que imponga intención a nivel arquitectónico.

La defensa más eficaz es Intent Classification. Antes de que el prompt del usuario llegue al LLM principal, debe ser interceptado por un modelo "gatekeeper" más pequeño y altamente especializado. La única función de ese modelo es determinar si la petición cae dentro del dominio permitido del agente. Si un usuario pide a un asistente Docker una receta de pizza o un cuento de Caperucita Roja, el gatekeeper debería rechazar la petición antes de activar capacidades más potentes (y potencialmente peligrosas) del modelo principal.

Para aclarar la diferencia entre un despliegue "naive" y uno seguro, considera esta comparación:

FeatureUnrestricted Agent (e.g., Gordon Beta)Secure Agent (Best Practice)
Domain GroundingDébil; se apoya en un system prompt.Fuerte; reforzado por intent classifiers.
Capability ScopeGeneralista; puede hablar de cualquier tema.Restringido; limitado a tareas de negocio específicas.
Tool AccessAmplio; puede escribir/ejecutar código arbitrario.Endurecido; acceso limitado a APIs esenciales.
Risk ProfileAlto; vulnerable a Shadow AI e inyección.Bajo; superficie de ataque minimizada.
Human OversightA menudo opcional o dependiente de sesión.Obligatorio para acciones sensibles/destructivas.

Más allá de la intención, los desarrolladores deben aplicar Capability Hardening. Esto implica eliminar cualquier funcionalidad no estrictamente necesaria para la tarea concreta. Si un agente está diseñado para gestionar Dockerfiles, no debería poder acceder a la web abierta para datos no técnicos. Y para cualquier acción con impacto potencial en infraestructura productiva, un Human-in-the-loop (HITL) es innegociable. Un agente seguro propone; un humano dispone.

Conclusión

La industria está en una "fase de luna de miel" con agentes de IA, donde la novedad de un chatbot que puede hacerlo todo eclipsa con frecuencia la necesidad de una herramienta que haga una cosa de forma segura. Como demuestra Gordon, incluso referentes del software pueden caer en la trampa de desplegar modelos sin restricciones que priorizan versatilidad conversacional por encima de seguridad operativa. Sin embargo, a medida que la IA se integra más profundamente en entornos núcleo de desarrollo, el coste de estos capability leaks solo aumentará.

Debemos dejar atrás la era de "chatbots con skins" y avanzar hacia sistemas verdaderamente intent-aware. Un agente seguro no es el que responde cualquier pregunta. Es el que sabe exactamente qué debe hacer y, más importante aún, qué no le está permitido hacer. Para empresas que construyen en este espacio, el objetivo debería ser crear agentes tan fiables y predecibles como el código que ayudan a gestionar.

El futuro de la seguridad agéntica está en la precisión. Aplicando límites estrictos de dominio y guardrails multicapa, podemos transformar la IA de conversador impredecible a socio potente y confiable. Al final, si quieres una receta de pizza o un cuento para dormir, se lo pedirías a un chef o a un narrador, no a tu herramienta de gestión de contenedores. ¿Está tu organización lista para exigir que sus agentes de IA se mantengan, por fin, en su carril?


Suscríbete a nuestra newsletter

Compartir

Únete a los líderes que aseguran el ecosistema de agentes

Solicita una demo