Encontraró más de 20 fallas en sistemas usados por millones
Buenos Aires-(Nomyc)-La empresa Anthropic anunció hace unos días, que su modelo de inteligencia artificial (IA) aún no publicado, que se llama “Claude Mythos”, demostró una gran capacidad para detectar vulnerabilidades en software al señalar miles de fallas en aplicaciones de uso común para los que aún no existe un parche o solución, lo que llevó a la startup de IA con sede en San Francisco a formar una alianza con especialistas en ciberseguridad para reforzar las defensas contra los ataques informáticos y según la empresa, el sistema identificó fallas graves, incluso, en sistemas operativos y navegadores ampliamente utilizados, algunos de los cuales llevaban décadas sin ser detectados.
“Tenemos un nuevo modelo que explícitamente no vamos a publicar al público”, dijo Mike Krieger, de Anthropic Labs, en la conferencia de IA HumanX celebrada en San Francisco.
Un modelo de IA que no será público: en cambio, Anthropic permite que especialistas en ciberseguridad e ingenieros de la comunidad de código abierto trabajen con Mythos para usar el modelo como arma defensiva, “en cierta forma armándolos con anticipación”, explicó Krieger.
Los avances en las capacidades de los modelos de IA generaron preocupaciones sobre el uso de estas herramientas por parte de hackers para descifrar contraseñas o romper el cifrado destinado a proteger datos, lo que encendió alarmas, incluso, en el sector financiero estadounidense, que desde hace años advierte sobre el potencial de los ciberataques a gran escala.
La más antigua de las vulnerabilidades descubiertas por Mythos, “se originó hace 27 años y ninguna había sido detectada en apariencia, por sus creadores antes de ser identificada por el modelo de IA”, según Anthropic.
Mythos, es la última generación de la familia de IA Claude de Anthropic, y una filtración reciente de parte de su código llevó a la startup a publicar una entrada en su blog advirtiendo que representaba riesgos de ciberseguridad sin precedentes.
“Los modelos de IA han alcanzado un nivel de capacidad de programación que les permite superar a todos los humanos excepto a los más especializados en encontrar y explotar vulnerabilidades de software”, señaló Anthropic en su blog.
“Las consecuencias –para las economías, la seguridad pública y la seguridad nacional– podrían ser graves” agregó.
Las vulnerabilidades expuestas por Mythos solían ser sutiles y difíciles de detectar sin IA, según Anthropic. Como ejemplo, la empresa indicó que Mythos encontró un fallo previamente inadvertido en un software de video que había sido probado más de cinco millones de veces por sus creadores.
La preocupación por estas capacidades ya ha llegado a Washington. Según el Financial Times y Bloomberg, el secretario del Tesoro de Estados Unidos, Scott Bessent, convocó recientemente a los máximos responsables de varios de los mayores bancos del país para abordar los riesgos cibernéticos asociados al nuevo modelo. En la reunión participaron directivos de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley y Wells Fargo, así como el presidente de la Reserva Federal, Jay Powell.
Aunque el consejero delegado de JPMorgan Chase, Jamie Dimon, fue invitado, no pudo asistir al encuentro. En su carta anual a los accionistas, Dimon ha advertido que las amenazas cibernéticas siguen siendo uno de los "mayores riesgos” para el sistema financiero y que la inteligencia artificial "casi con certeza empeorará esta amenaza”.
Proyecto Glasswing: una alianza para la ciberseguridad: como medida de precaución, Anthropic compartió una versión de “Mythos”, con las empresas de ciberseguridad CrowdStrike y Palo Alto Networks, así como con Amazon, Apple y Microsoft, en un proyecto al que denominó “Glasswing” y el acceso restringido forma parte de una estrategia deliberada de la empresa para que un grupo limitado de socios pueda identificar y corregir vulnerabilidades antes de que el sistema se haga más ampliamente disponible.
Los gigantes de las redes Cisco y Broadcom, también participan en el proyecto, junto con la Linux Foundation, que promueve el sistema operativo libre y de código abierto Linux.
“Este trabajo es demasiado importante y demasiado urgente para hacerlo solos”, explicó Anthony Grieco, director de seguridad y confianza de Cisco, en un comunicado conjunto sobre Glasswing que agregó “Las capacidades de la IA han cruzado un umbral que cambia fundamentalmente la urgencia necesaria para proteger la infraestructura crítica de las ciberamenazas, y no hay marcha atrás”
De manera aproximada, 40 organizaciones involucradas en el diseño, mantenimiento u operación de sistemas informáticos se han sumado a Glasswing y los socios del proyecto, compartirán sus hallazgos con Mythos, según Anthropic, que aporta recursos informáticos valorados en unos 100 millones de dólares para la iniciativa.
Lo que Mythos puede cambiar en la defensa digital: “los trabajos iniciales con modelos de IA han demostrao que pueden ayudar a encontrar y corregir vulnerabilidades de software y hardware a un ritmo y escala que antes no eran posibles”, según Grieco.
“La ventana entre el descubrimiento de una vulnerabilidad y su explotación por un adversario se ha cerrado: lo que antes llevaba meses ahora ocurre en minutos con la IA”, afirmó Elia Zaitsev, director de tecnología de CrowdStrike.
“Claude Mythos Preview demuestra lo que ahora es posible para los defensores a escala, y los adversarios inevitablemente buscarán explotar las mismas capacidades” continuó el director de CrowdStrike.
Desde Anthropic, se señaló que mantiene conversaciones con el Gobierno de Estados Unidos sobre Mythos, pese a un decreto de la Casa Blanca en febrero que ordenaba rescindir todos los contratos con la startup, aunque que fue suspendida por un juez federal, mientras el recurso legal presentado por Anthropic sigue su curso en los tribunales.
Hasta donde se sabe, esta es también la primera vez que la compañía decide limitar el acceso inicial a uno de sus modelos de inteligencia artificial, una señal de hasta qué punto sus propias capacidades han despertado inquietud dentro de la industria tecnológica y entre las autoridades.
Nomyc-21-4-26
