Anthropic anunció el martes que su modelo de inteligencia artificial aún no lanzado, llamado Claude Mythos, ha demostrado ser muy hábil para exponer debilidades en el software.
Mythos ha revelado miles de vulnerabilidades en aplicaciones comúnmente utilizadas para las cuales no existe un parche o solución, lo que llevó a la startup de IA con sede en San Francisco a formar una alianza con especialistas en ciberseguridad para fortalecer las defensas contra piratas informáticos y evitar una amplia distribución.
“Tenemos un nuevo modelo que no estamos lanzando explícitamente al público”, dijo Mike Krieger de Anthropic Labs en una conferencia de HumanX AI en San Francisco.
En lugar de eso, Anthropic está permitiendo que especialistas en ciberseguridad e ingenieros de la comunidad de código abierto trabajen con Mythos para utilizar el modelo como un arma defensiva, “como armarlos por adelantado”, explicó Krieger.
Los avances en las capacidades del modelo de IA han generado preocupaciones sobre piratas informáticos que utilizan tales herramientas para descifrar contraseñas o vulnerar la encriptación destinada a mantener seguros los datos.
Las vulnerabilidades más antiguas descubiertas por Mythos datan de hace 27 años, y ninguna fue aparentemente notada por sus creadores antes de ser identificadas por el modelo de IA, según Anthropic.
Mythos es la última generación de la familia de IA Claude de Anthropic, y una reciente filtración de parte de su código provocó que la startup publicara una entrada en el blog advirtiendo sobre los riesgos de ciberseguridad sin precedentes que presentaba.
“Los modelos de IA han alcanzado un nivel de capacidad para codificar donde pueden superar a todos menos a los humanos más habilidosos en la búsqueda y explotación de vulnerabilidades de software”, dijo Anthropic en una entrada de blog. “Las consecuencias, para las economías, la seguridad pública y la seguridad nacional, podrían ser graves”.
Las vulnerabilidades de software expuestas por Mythos a menudo eran sutiles y difíciles de detectar sin la IA, según Anthropic. Como ejemplo, dijo que Mythos encontró una falla previamente no detectada en un software de video que había sido probado más de 5 millones de veces por sus creadores.
Como medida de precaución, Anthropic compartió una versión de Mythos con las empresas de ciberseguridad CrowdStrike y Palo Alto Networks, así como con Amazon, Apple y Microsoft, en un proyecto al que denominó “Glasswing”.
Las gigantes de redes Cisco y Broadcom están participando en el proyecto, junto con la Linux Foundation, que promueve el sistema operativo gratuito y de código abierto Linux.
“Este trabajo es demasiado importante y urgente para hacerlo solo”, dijo Anthony Grieco, director de seguridad y confianza de Cisco, en un comunicado conjunto sobre Glasswing. “Las capacidades de IA han cruzado un umbral que cambia fundamentalmente la urgencia requerida para proteger la infraestructura crítica de las amenazas cibernéticas, y no hay vuelta atrás”.
Aproximadamente 40 organizaciones involucradas en el diseño, mantenimiento u operación de sistemas informáticos se dice que se han unido a Glasswing. Según Anthropic, los socios del proyecto compartirán sus hallazgos con Mythos, y la empresa está proporcionando aproximadamente $100 millones en recursos informáticos para la misión. El trabajo inicial con modelos de IA ha demostrado que pueden ayudar a encontrar y corregir vulnerabilidades de software y hardware a un ritmo y escala antes no posibles, según Grieco.
“La ventana entre descubrir una vulnerabilidad y que sea explotada por un adversario se ha reducido; lo que antes llevaba meses, ahora sucede en minutos con la IA”, dijo Elia Zaitsev, director de tecnología de Crowdstrike.
“La vista previa de Claude Mythos demuestra lo que ahora es posible para los defensores a gran escala, y los adversarios inevitablemente buscarán explotar las mismas capacidades”, agregó.
Anthropic dijo que ha tenido discusiones con el gobierno de EE. UU. sobre Mythos a pesar de un decreto de la Casa Blanca en febrero para terminar todos los contratos con la startup. Esa directiva fue suspendida por un juez federal mientras un desafío legal de Anthropic avanza a través de los tribunales.
