Hola de nuevo por aquí. Hoy traemos una noticia que, sin exageración, puede ser uno de los anuncios tecnológicos más importantes del año. El 7 de abril, Anthropic presentó algo que no tiene precedentes: un modelo de IA tan poderoso para encontrar vulnerabilidades de software que decidieron que era demasiado peligroso lanzarlo al público. En su lugar, montaron toda una coalición industrial para usarlo antes de que alguien con malas intenciones construya algo parecido. Bienvenidos a Project Glasswing. ¿Qué es Claude Mythos y por qué importa tanto? Claude Mythos Preview es un nuevo modelo de lenguaje de propósito general. Tiene un rendimiento sólido en todo tipo de tareas, pero destaca de forma llamativa en seguridad informática. International Women’s Foundation Y cuando decimos “llamativa”, lo decimos en serio. Mythos Preview ya ha encontrado miles de vulnerabilidades de alto riesgo, incluyendo algunas en todos los principales sistemas operativos y navegadores web. Tech Policy Press Pero lo más desconcertante no es la cantidad —es la antigüedad de lo que encontró. Muchas de esas vulnerabilidades tienen diez o veinte años, siendo la más antigua hasta ahora un bug de 27 años en OpenBSD —un sistema operativo conocido precisamente por su seguridad— que ya ha sido parcheado. EU Perspetives Piénsalo un momento: décadas de auditorías humanas, millones de pruebas automatizadas, programas de recompensas con presupuestos millonarios… y una IA lo encontró en cuestión de semanas. La capacidad del modelo no se limita a detectar fallos. En un caso documentado, Mythos Preview escribió un exploit para un navegador web encadenando cuatro vulnerabilidades, desarrollando un complejo JIT heap spray que escapó tanto del sandbox del navegador como del del sistema operativo. También obtuvo de forma autónoma exploits de escalada de privilegios en Linux y otros sistemas operativos, explotando condiciones de carrera sutiles. EU Perspetives Y la guinda: Mythos Preview identificó y explotó de forma completamente autónoma una vulnerabilidad de ejecución remota de código con 17 años de antigüedad en FreeBSD que permite a cualquiera obtener acceso root en una máquina que ejecute NFS —sin necesidad de autenticación, desde cualquier punto de internet. International Women’s Foundation El problema: la misma IA que defiende puede atacar Aquí está el dilema que hizo que Anthropic tomara una decisión sin precedentes. Anthropic no ha entrenado explícitamente a Mythos Preview para tener estas capacidades. Más bien emergieron como consecuencia de mejoras generales en código, razonamiento y autonomía. Las mismas mejoras que hacen al modelo más eficaz para parchear vulnerabilidades también lo hacen más eficaz para explotarlas. The Cyber Express La empresa ha advertido de forma privada a altos funcionarios del gobierno que Mythos hace significativamente más probables los ciberataques a gran escala este mismo año. Euronews Ese es el contexto urgente detrás de todo lo que vino después. Project Glasswing: la respuesta coordinada Ante esa realidad, Anthropic tomó una decisión que tiene tanto de estrategia como de responsabilidad: lanzó Project Glasswing, un esfuerzo para usar Mythos Preview en ayudar a proteger el software más crítico del mundo y preparar a la industria para las prácticas que todos necesitarán adoptar para mantenerse por delante de los ciberatacantes. International Women’s Foundation El programa permite a empresas como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft y NVIDIA usar Mythos Preview para trabajos defensivos de seguridad y compartir sus aprendizajes con el resto de la industria. Euronews Además, 40 organizaciones adicionales que construyen o mantienen infraestructura de software crítico tendrán acceso al modelo para escanear y asegurar tanto sus propios sistemas como código abierto. European Parliament El compromiso económico es igual de llamativo. Anthropic destinó 100 millones de dólares en créditos de uso del modelo para Project Glasswing, además de 2,5 millones de dólares donados a Alpha-Omega y OpenSSF a través de la Linux Foundation, y 1,5 millones a la Apache Software Foundation, para que los mantenedores de software de código abierto puedan responder a este nuevo escenario. Tech Policy Press El acceso: restringido y con razón Una de las partes más interesantes del anuncio es lo que Anthropic decidió no hacer. No tienen planes de hacer que Claude Mythos Preview esté disponible de forma general. El objetivo eventual es permitir a sus usuarios desplegar modelos de clase Mythos de forma segura a escala —para ciberseguridad, pero también para los muchos otros beneficios que estos modelos altamente capaces traerán. Para lograrlo, necesitan avanzar en el desarrollo de salvaguardias de ciberseguridad que detecten y bloqueen las salidas más peligrosas del modelo. Tech Policy Press El plan es lanzar nuevas salvaguardias con un próximo modelo Claude Opus, permitiendo mejorar y refinarlas con un modelo que no presenta el mismo nivel de riesgo que Mythos Preview. Tech Policy Press Es decir: primero se ensayan los frenos en un coche más lento, antes de ponerlos en el más rápido. Lo que el modelo realmente puede hacer: los números Para los que quieran datos concretos, el salto de rendimiento respecto a modelos anteriores es difícil de ignorar. En un benchmark de Firefox 147, Claude Opus 4.6 produjo exploits funcionales solo dos veces en varios cientos de intentos. Mythos Preview produjo 181 exploits funcionales. Digital Journal En 7.000 puntos de entrada en repositorios de código abierto del corpus OSS-Fuzz, Opus 4.6 logró un único crash de nivel 3 en una escala de cinco niveles de gravedad, sin resultados más altos. Mythos Preview alcanzó el nivel 5 —secuestro completo del flujo de control— en 10 objetivos completamente parcheados. Digital Journal Un investigador del equipo de Anthropic lo resumió con una frase que da que pensar: “He encontrado más bugs en las últimas semanas que en el resto de mi vida combinada.” Internet Watch Foundation Las voces críticas: también hay escepticismo No todo el mundo recibe el anuncio con los brazos abiertos, y es justo reconocerlo. El reconocido experto en seguridad Bruce Schneier señaló directamente en su blog que el anuncio tiene mucho de maniobra de relaciones públicas —y que funcionó. Muchos reporteros repitieron los puntos de Anthropic sin analizarlos críticamente. European Parliament La empresa de investigación AISLE fue más técnica: tomó las vulnerabilidades específicas que Anthropic destacó en su anuncio, las aisló y las pasó por modelos más pequeños y baratos. Ocho de ocho modelos detectaron el exploit de FreeBSD que Anthropic presentó como ejemplo principal, incluyendo uno con solo 3.600 millones de parámetros activos que cuesta 0,11 dólares por millón de tokens. Al Jazeera Su conclusión: la ventaja real de Mythos no está en detectar vulnerabilidades conocidas, sino en la capacidad de construir exploits sofisticados de forma autónoma, algo que los modelos más pequeños no replican. Al Jazeera Por qué esto reordena el debate sobre seguridad y regulación Anthropic es optimista en que Project Glasswing puede sembrar un esfuerzo más amplio entre la industria y el sector público. La compañía invita a otros miembros de la industria de IA a unirse para establecer estándares. A medio plazo, un organismo independiente de terceros —capaz de reunir a organizaciones del sector privado y público— podría ser el hogar ideal para el trabajo continuo en estos proyectos de ciberseguridad a gran escala. European Parliament Lo que queda claro es que la ciberseguridad acaba de entrar en una era diferente. Dado el ritmo de progreso de la IA, no tardará mucho en que estas capacidades proliferen, potencialmente más allá de actores comprometidos con desplegarlas de forma segura. Las consecuencias —para las economías, la seguridad pública y la seguridad nacional— podrían ser graves. Project Glasswing es un intento urgente de poner estas capacidades a trabajar con fines defensivos. Tech Policy Press Un bug de 27 años encontrado en semanas. Miles de vulnerabilidades críticas todavía sin parchear. Una coalición inédita de las mayores empresas tecnológicas del mundo. Y una IA que nadie más puede usar todavía. La carrera acaba de cambiar de velocidad. Did you find this post helpful? 0 Loading read count... Navegación de entradas OpenAI acelera su expansión con una ronda histórica de 122.000 millones Zuckerberg apostó 14.000 millones. Aquí está lo que compró
