Las preocupaciones de seguridad llevan a Anthropic a restringir el uso de herramientas de inteligencia artificial en medio del creciente panorama de amenazas cibernéticas.
Anthropic ha anunciado que está implementando su modelo de inteligencia artificial, Claude Mythos Preview, solo para un grupo selecto de empresas después de que el nuevo modelo encontró miles de vulnerabilidades críticas en sistemas operativos, navegadores web y otro software.
El nuevo modelo de propósito general, dijo Anthropic, también encontró vulnerabilidades de alta seguridad en todos los principales sistemas operativos y navegadores web.
"Dado el ritmo del progreso de la IA, no pasará mucho tiempo antes de que tales capacidades proliferen, potencialmente más allá de los actores que se comprometen a implementarlas de forma segura".
Los piratas informáticos ya han utilizado la IA para realizar ciberataques. Ha habido un aumento interanual del 72% en los ciberataques impulsados por IA, y el 87% de las organizaciones globales experimentarán ciberataques habilitados por IA en 2025, según AllAboutAI.
Anthropic expresó su preocupación por lo que sucedería si los malos actores utilizaran capacidades de inteligencia artificial similares.
Para combatir esto, Anthropic anunció el martes el Proyecto Glasswing, una nueva iniciativa que reúne a más de 40 empresas, incluidas Amazon Web Services, Apple, Cisco, Google, JPMorgan, Linux Foundation, Microsoft y Nvidia.
Project Glasswing utilizará las capacidades de Claude Mythos Preview para encontrar errores de manera defensiva, compartir los datos con sus socios y adelantarse a las amenazas parcheando vulnerabilidades críticas antes de que los malos actores puedan explotarlas.
Se están descubriendo errores de décadas de antigüedad
Una vulnerabilidad de día cero es un error de software que puede explotarse antes de que alguien con la capacidad de solucionarlo sepa que existe. Históricamente, encontrarlos y parchearlos ha requerido experiencia humana poco común y costosa, pero la IA podría cambiar la escala y la velocidad de la detección.
Anthropic dijo que las vulnerabilidades que encuentra son "a menudo sutiles o difíciles de detectar".
Muchos de ellos tienen 10 o 20 años, y el más antiguo encontrado hasta ahora es un error de 27 años ya parcheado en OpenBSD, un sistema operativo conocido principalmente por su seguridad, agregó.
También encontró un error de hace 16 años en la biblioteca de procesamiento de medios FFmpeg, una vulnerabilidad de ejecución remota de código de hace 17 años en el sistema operativo de código abierto FreeBSD y numerosas vulnerabilidades en el kernel de Linux.
Mythos Preview también identificó varias debilidades en las bibliotecas, algoritmos y protocolos de criptografía más populares del mundo, incluidos TLS, AES-GCM y SSH.
Añadió que las aplicaciones web "contienen una gran cantidad de vulnerabilidades", que van desde secuencias de comandos entre sitios e inyección SQL hasta vulnerabilidades específicas de dominio, como la falsificación de solicitudes entre sitios, que a menudo se utiliza en ataques de phishing.
Ciclo de vida de un exploit de día cero. Fuente: PhoenixNAP
Anthropic afirmó que el 99% de las vulnerabilidades que encontró aún no han sido parcheadas, “por lo que sería irresponsable de nuestra parte revelar detalles sobre ellas”.
El software surgirá más seguro, pero no de la noche a la mañana
Anthropic dijo que esto probablemente sea solo el comienzo de una tendencia, y que "el trabajo de defender la infraestructura cibernética del mundo podría llevar años", pero la IA ayudará a fortalecer el software y los sistemas.
“A largo plazo, esperamos que predominen las capacidades de defensa: que el mundo emergerá más seguro, con un software mejor reforzado, en gran parte mediante código escrito por estos modelos. Pero el período de transición será complicado”.