Identificación de vulnerabilidades y exploits con la vista previa de Claude Mythos
En las últimas semanas, hemos utilizado la vista previa de Claude Mythos para identificar miles de vulnerabilidades de día cero (es decir, fallos que eran desconocidos previamente por los desarrolladores del software), muchas de ellas críticas, en cada sistema operativo principal y cada navegador web principal, junto con una variedad de otros software importantes.
En una publicación en nuestro blog de Frontier Red Team, proporcionamos detalles técnicos para un subconjunto de estas vulnerabilidades que ya han sido parcheadas y, en algunos casos, las formas en que Mythos Preview encontró para explotarlas. Fue capaz de identificar casi todas estas vulnerabilidades y desarrollar muchos exploits relacionados de forma totalmente autónoma, sin ninguna dirección humana. A continuación se presentan tres ejemplos:
– Mythos Preview encontró una vulnerabilidad de 27 años en OpenBSD -que tiene una reputación como uno de los sistemas operativos más seguros del mundo y se utiliza para ejecutar firewalls y otra infraestructura crítica. La vulnerabilidad permitía a un atacante bloquear remotamente cualquier máquina que ejecute el sistema operativo simplemente conectándose a ella; – También descubrió una vulnerabilidad de 16 años en FFmpeg -que es utilizado por innumerables piezas de software para codificar y decodificar video- en una línea de código que las herramientas de prueba automatizadas habían encontrado cinco millones de veces sin nunca detectar el problema; – El modelo encontró y encadenó de forma autónoma varias vulnerabilidades en el kernel de Linux -el software que ejecuta la mayoría de los servidores del mundo- para permitir a un atacante escalar desde el acceso de usuario ordinario hasta el control total de la máquina.
Hemos informado sobre las vulnerabilidades mencionadas a los mantenenedores del software relevante, y todas ellas han sido parcheadas. Para muchas otras vulnerabilidades, estamos proporcionando un hash criptográfico de los detalles hoy (consulte el blog de Red Team), y revelaremos los detalles después de que se haya implementado la corrección.
Benchmarks de evaluación como CyberGym refuerzan la diferencia sustancial entre Mythos Preview y nuestro próximo mejor modelo, Claude Opus 4.6:
Ciberseguridad Vulnerabilidad de Reproducción
Además de nuestro propio trabajo, muchos de nuestros asociados ya han estado utilizando la vista previa de Claude Mythos durante varias semanas. Esto es lo que han encontrado:
“Las capacidades de IA han cruzado un umbral que cambia fundamentalmente la urgencia requerida para proteger la infraestructura crítica de las amenazas cibernéticas, y no hay marcha atrás. Nuestro trabajo fundamental con estos modelos ha demostrado que podemos identificar y corregir vulnerabilidades de seguridad en hardware y software a un ritmo y escala anteriormente imposibles. Eso es un cambio profundo, y una señal clara de que los antiguos métodos de endurecimiento de los sistemas ya no son suficientes. Los proveedores de tecnología deben adoptar agresivamente nuevos enfoques ahora, y los clientes deben estar listos para implementar. Es por eso que Cisco se unió a Project Glasswing: este trabajo es demasiado importante y urgente para hacerlo solo.”
“En AWS, construimos defensas antes de que surjan amenazas, desde nuestro silicio personalizado hasta la pila tecnológica. La seguridad no es una fase para nosotros; es continua e incorporada en todo lo que hacemos. Nuestros equipos analizan más de 400 billones de flujos de red todos los días en busca de amenazas, y la IA es fundamental para nuestra capacidad de defender a escala.
Hemos estado probando Claude Mythos Preview en nuestras propias operaciones de seguridad, aplicándolo a bases de códigos críticos, donde ya nos está ayudando a fortalecer nuestro código. Estamos aportando una profunda experiencia en seguridad a nuestra asociación con Anthropic y estamos ayudando a fortalecer Claude Mythos Preview para que aún más organizaciones puedan avanzar en su trabajo más ambicioso con seguridad que marque el estándar.”
“A medida que entramos en una fase en la que la ciberseguridad ya no está limitada por la capacidad puramente humana, la oportunidad de usar la IA de manera responsable para mejorar la seguridad y reducir el riesgo a escala es sin precedentes. Unirse a Project Glasswing, con acceso a Claude Mythos Preview, nos permite identificar y mitigar el riesgo temprano y aumentar nuestras soluciones de seguridad y desarrollo para poder proteger mejor a los clientes y a Microsoft.
Cuando se probó contra CTI-REALM, nuestra referencia de seguridad de código abierto, Claude Mythos Preview mostró mejoras sustanciales en comparación con modelos anteriores. Esperamos colaborar con Anthropic y la industria en general para mejorar los resultados de seguridad para todos.”
(Menciona la necesidad de colaborar con otros miembros de la industria de la IA)
(La vista previa de Claude Mythos ha demostrado ser fundamental para detectar vulnerabilidades ocultas anteriormente)
(La colaboración con Project Glasswing es vital para abordar los desafíos de seguridad)
Planes para Project Glasswing
El anuncio de hoy marca el comienzo de un esfuerzo a largo plazo. Para tener éxito, requerirá una amplia participación de toda la industria tecnológica y más allá.
Los socios de Project Glasswing recibirán acceso a Claude Mythos Preview para encontrar y corregir vulnerabilidades o debilidades en sus sistemas fundamentales, que representan una gran parte de la superficie de ataque cibernético compartida del mundo. Anticipamos que este trabajo se centrará en tareas como la detección local de vulnerabilidades, la prueba de caja negra de binarios, la seguridad de los puntos finales y las pruebas de penetración de sistemas.
(Se especifica el costo y la disponibilidad de Claude Mythos Preview)
(Se destaca la inversión y los donativos realizados para apoyar este proyecto)
(Se enfatiza la importancia de la colaboración y el intercambio de información entre los participantes)
(Se resalta la necesidad de evolucionar las prácticas de seguridad en la era de la IA)
(Se menciona la colaboración con funcionarios del gobierno de EE.UU. para abordar las capacidades cibernéticas de Claude Mythos Preview)
(Se invita a otros miembros de la industria de la IA a unirse para establecer estándares)
(La meta a largo plazo es crear un cuerpo independiente que continúe trabajando en proyectos de ciberseguridad a gran escala)
