Anthropic dijo el martes que su modelo de inteligencia artificial aún por publicar, llamado Claude Mythos, ha demostrado ser profundamente hábil para revelar vulnerabilidades de software.
Mythos ha expuesto miles de vulnerabilidades en aplicaciones de uso común para las cuales no existen parches ni soluciones, lo que llevó a la startup de inteligencia artificial con sede en San Francisco a formar una alianza con expertos en ciberseguridad para fortalecer las defensas contra la piratería y evitar la distribución masiva.
“Tenemos un nuevo modelo que en realidad no vamos a lanzar al público”, dijo Mike Krieger de Anthropic Labs en una conferencia de HumanX AI en San Francisco.
En cambio, Anthropic está permitiendo que los expertos e ingenieros en ciberseguridad de la comunidad de código abierto utilicen el modelo con Mythos como arma defensiva “para armarlos con anticipación”, explicó Krieger.
Las crecientes capacidades de los modelos de IA han generado preocupación acerca de que los piratas informáticos utilicen dichas herramientas para encontrar contraseñas o descifrar el cifrado para mantener los datos seguros.
Las vulnerabilidades más antiguas descubiertas por Mythos se remontan a 27 años y, según Anthropic, aparentemente no fueron notadas por sus creadores antes de ser identificadas por el modelo de IA.
Mythos es la última generación de la familia Claude de IA de Anthropic, y una filtración reciente de parte de su código llevó a la startup a publicar una publicación en su blog diciendo que representa un riesgo de ciberseguridad sin precedentes.
“Los modelos de IA han alcanzado un nivel de capacidad de codificación en el que pueden superar a todos, excepto a los humanos más capacitados, en la búsqueda y explotación de vulnerabilidades de software”, dijo Anthropic en una publicación de blog. “Las consecuencias (para la economía, la seguridad pública y la seguridad nacional) podrían ser graves”.
Según Anthropic, las vulnerabilidades de software descubiertas por Mythos eran a menudo sutiles y difíciles de detectar sin IA. Como ejemplo, dice que Mythos encontró una falla previamente desapercibida en un software de video que sus creadores habían probado más de 5 millones de veces.
Como precaución, Anthropic ha compartido una versión de Mythos con la empresa de ciberseguridad CrowdStrike y Palo Alto Networks, así como con Amazon, Apple y Microsoft en un proyecto que llama “GlassWing”.
Los gigantes de las redes Cisco y Broadcom participan en el proyecto junto con la Fundación Linux, que promueve el sistema operativo informático gratuito y de código abierto Linux.
“Este trabajo es demasiado importante y demasiado urgente para realizarlo solo”, dijo Anthony Greco, director de seguridad y confianza de Cisco, en un comunicado conjunto sobre GlassWing. “Las capacidades de IA han cruzado un umbral que cambia fundamentalmente la urgencia requerida para proteger la infraestructura crítica de las amenazas cibernéticas, y no hay vuelta atrás”.
Se dice que se han unido a Glasswing unas 40 empresas involucradas en el diseño, mantenimiento u operación de sistemas informáticos. Según Anthropic, que proporcionará alrededor de 100 millones de dólares en recursos informáticos para la misión, los socios del proyecto compartirán sus hallazgos sobre Mythos. Los primeros trabajos con modelos de IA han demostrado que pueden ayudar a encontrar y reparar vulnerabilidades de software y hardware a una velocidad y escala que antes no era posible, según Greco.
“La ventana entre descubrir una vulnerabilidad y explotarla por parte de un adversario se ha derrumbado; lo que antes tomaba meses ahora sucede en minutos con la IA”, dijo Elia Zaitsev, director de tecnología de CrowdStrike.
“El avance de Clod Mythos demuestra lo que ahora es posible para los defensores a gran escala, y los oponentes inevitablemente buscarán explotar las mismas capacidades”, añadió.
Anthropic dijo que ha tenido conversaciones con el gobierno de Estados Unidos sobre Mythos a pesar de un decreto de la Casa Blanca en febrero para cancelar todos los contratos con la startup. Esa orientación fue suspendida por un juez de un tribunal federal mientras una impugnación legal de Anthropic se abría paso en los tribunales.
