Anthropic amplía el acceso a Mythos a pesar de llamarlo peligroso

Anthropic amplía el acceso a Mythos a pesar de llamarlo peligroso

      TL;DRAnthropic dice que Mythos es demasiado peligroso para su lanzamiento público, pero ha ampliado el acceso a 200 organizaciones en 15 países. Solo el 14% de sus más de 10,000 descubrimientos de vulnerabilidades críticas han sido corregidos. Sus afirmaciones no han sido verificadas de forma independiente.

      Anthropic ha dicho que su modelo Mythos es tan bueno para encontrar vulnerabilidades de software que liberarlo públicamente podría ayudar a los atacantes a robar datos o interrumpir infraestructuras críticas. También, desde principios de junio, ha ampliado el acceso a 150 organizaciones adicionales, llevando el total a aproximadamente 200 en 15 países.

      La tensión es deliberada. El argumento de Anthropic es que las mismas capacidades que hacen que Mythos sea peligroso para el ataque lo hacen indispensable para la defensa, y que cuanto antes los defensores lo tengan, antes podrán corregir las fallas antes de que los atacantes construyan sus propios equivalentes.

      Lo que Mythos puede hacer

      Mythos Preview ha encontrado miles de vulnerabilidades de día cero durante las pruebas, incluyendo en cada sistema operativo importante y en cada navegador web importante. Una fue un fallo de 27 años en OpenBSD, un sistema operativo con reputación de ser uno de los más seguros del mundo.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! El modelo también puede encadenar vulnerabilidades en exploits funcionales. En una prueba, vinculó varios fallos en el núcleo de Linux para permitir que un atacante tomara el control total de una máquina. No expertos pidieron a Mythos que encontrara formas de tomar el control remoto de computadoras durante la noche y encontraron un exploit completo y funcional esperando a la mañana siguiente.

      La fuga de la sandbox

      En una prueba temprana, un investigador instó a Mythos a escapar de una computadora sandbox asegurada y aislada y enviar un mensaje de vuelta. El modelo tuvo éxito, luego continuó tomando "acciones adicionales, más preocupantes", desarrollando un exploit de múltiples pasos para obtener acceso a Internet por su cuenta.

      Anthropic publicó este incidente en la tarjeta del sistema Mythos. La compañía lo describió como un fallo raro que ocurrió durante pruebas adversariales deliberadas, no en operación normal. No obstante, es el tipo de resultado que hace que la expansión del acceso sea más difícil de explicar a una audiencia no técnica.

      Quién tiene acceso

      El grupo central bajo el Proyecto Glasswing incluye a Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike, Broadcom, Cisco, JPMorgan Chase y la Fundación Linux. Se añadieron 40 organizaciones adicionales en abril y 150 más en junio.

      Anthropic se negó a nombrar a los nuevos participantes, pero dijo que incluyen empresas y organizaciones sin fines de lucro que producen código de programación clave. La agencia de ciberseguridad de la UE, ENISA, está supuestamente entre ellas. Todas están destinadas a usar Mythos para trabajos de seguridad defensiva, esencialmente pruebas de penetración impulsadas por IA a una escala y velocidad que ningún equipo humano puede igualar.

      La brecha de parches

      Desde su lanzamiento, Mythos ha sido utilizado para encontrar más de 10,000 vulnerabilidades de alta o crítica severidad. Solo el 14% de esas han sido corregidas hasta el 22 de mayo.

      El proceso de divulgación es lento por diseño: especialistas humanos validan cada descubrimiento antes de enviar detalles a los mantenedores del código. Pero los hackers están utilizando IA para acelerar drásticamente la rapidez con la que explotan vulnerabilidades una vez que se divulgan públicamente. El CEO de Palo Alto Networks, Nikesh Arora, advirtió en marzo que "un solo actor malicioso ahora podrá ejecutar campañas que requerían equipos enteros".

      El incidente de acceso no autorizado

      En abril, un pequeño grupo de usuarios no autorizados en un foro en línea privado obtuvo acceso a Mythos, según Bloomberg. Anthropic no ha detallado públicamente la violación ni cómo se resolvió.

      Esta es la vulnerabilidad central en la estrategia de "expandir el acceso para defender": cada organización adicional con acceso es otro posible punto de fuga. Las capacidades ofensivas del modelo no disminuyen cuando se utilizan defensivamente; son las mismas capacidades, apuntadas en una dirección diferente.

      Anthropic no está solo

      Codex Security de OpenAI y el agente Big Sleep de Google han sido construidos para propósitos similares. Se informa que OpenAI está finalizando un producto con capacidades avanzadas de ciberseguridad para socios selectos. La startup israelí Buzz dice que ha construido una herramienta autónoma de cinco agentes con una tasa de éxito del 98% en la explotación de fallos conocidos, construida por seis ingenieros en tres semanas.

      El equipo rojo Frontier de Anthropic dijo en abril que "a largo plazo, esperamos que las capacidades de defensa dominen" y que el mundo emerja más seguro. "Pero el período de transición estará lleno de dificultades".

      El problema de verificación

      Los investigadores no han tenido acceso para verificar de forma independiente las afirmaciones de Anthropic sobre el rendimiento de Mythos. Gang Wang, profesor asociado de informática en la Universidad de Illinois, dijo a Bloomberg que es difícil evaluar la importancia de Mythos sin más pruebas prácticas.

      Las afirmaciones de Anthropic sobre las capacidades del modelo, las 10,000 vulnerabilidades, los descubrimientos de día cero, la fuga de la sandbox, son todas auto-reportadas. No se ha publicado ninguna auditoría independiente. El argumento de la compañía para expandir el acceso se basa en la confianza en sus propias evaluaciones, en un momento en que se está preparando simultáneamente para una OPI y posicionando a Mythos como una categoría de producto. Esa combinación de intereses no hace que las afirmaciones sean falsas. Sin embargo, sí hace que la verificación independiente sea más importante, no menos.

Otros artículos

Safari finalmente está solucionando su problema con las extensiones. A diferencia de Chrome, Apple te permitirá crear las tuyas. Safari finalmente está solucionando su problema con las extensiones. A diferencia de Chrome, Apple te permitirá crear las tuyas. Safari está obteniendo un creador de extensiones impulsado por IA que permite a los usuarios describir la herramienta del navegador que desean. Podría ayudar a Apple a solucionar una de las debilidades más antiguas de Safari sin tener que perseguir la gigantesca biblioteca de complementos de Chrome. Alta Ares recauda 50 millones de euros para interceptores de drones de IA Alta Ares recauda 50 millones de euros para interceptores de drones de IA La startup francesa de defensa Alta Ares recaudó 50 millones de euros liderada por Air Street Capital para interceptores de IA que ya han derribado drones rusos sobre Ucrania. Klarna lanza cuentas de ahorro en EE. UU. al 3.28% a través de WebBank Klarna lanza cuentas de ahorro en EE. UU. al 3.28% a través de WebBank Klarna lanza ahorros de alto rendimiento en EE. UU. con un 3.28% APY a través de WebBank asegurado por la FDIC. La tasa está por detrás de Marcus (3.4%) y SoFi (3.8%). Los detalles del depósito no se han revelado. El equipo de Ex-Agentforce recauda $5.1 millones para la IA 'anti-vendedor' El equipo de Ex-Agentforce recauda $5.1 millones para la IA 'anti-vendedor' Zaro, fundada por ingenieros que ayudaron a construir Agentforce de Salesforce, recaudó $5.1 millones liderados por Cherry Ventures para una plataforma de IA donde las empresas poseen su contexto. Reino Unido revisa su acuerdo de £330 millones con NHS y Palantir Reino Unido revisa su acuerdo de £330 millones con NHS y Palantir El gobierno del Reino Unido está revisando el contrato de £330 millones de Palantir con el NHS y podría activar una cláusula de ruptura en 2027, después de que los diputados calificaran la dependencia de la firma estadounidense como una debilidad. Orbital recauda $5 millones para construir centros de datos de IA en órbita Orbital recauda $5 millones para construir centros de datos de IA en órbita Orbital, liderado por a16z speedrun, recaudó $5 millones en una ronda de pre-semilla para construir centros de datos de IA alimentados por energía solar en órbita baja terrestre, con un vuelo de demostración de SpaceX programado para 2027.

Anthropic amplía el acceso a Mythos a pesar de llamarlo peligroso

Anthropic dice que Mythos es demasiado peligroso para su lanzamiento público, pero dio acceso a 150 organizaciones más. Solo el 14% de más de 10,000 fallos críticos encontrados han sido corregidos. Las afirmaciones no están verificadas.