📂 Categoría: Tech,AI,anthropic,cybersecurity,ai,claude,limited-synd | 📅 Fecha: 1775684717
🔍 En este artículo:
Los lanzamientos de IA de Anthropic han alimentado los temores de un apocalipsis del software. Ahora dice que no lanzará su nuevo modelo, Claude Mythos Preview, por miedo. Esto podría desencadenar el caos en el mundo de la ciberseguridad.
en un martes publicación de blogAnthropic afirma que Mythos podría encontrar, analizar y explotar de forma autónoma vulnerabilidades de software a escala, en algunos casos mejor que los humanos.
Al llamarlo un «momento decisivo», Anthropic dijo que Mythos es tan poderoso que los profesionales no relacionados con la ciberseguridad podrían usarlo «para encontrar y explotar vulnerabilidades sofisticadas».
Los expertos en ciberespacio dijeron a Business Insider que, si bien el anuncio de Anthropic presenta un lenguaje de marketing deliberado, el modelo parece ser un gran paso adelante en las capacidades de la IA en el mundo cibernético.
«Anthropic se ha ganado la reputación de ser una empresa de inteligencia artificial que prioriza la seguridad, por lo que anuncios como este tienen dos propósitos: cautela genuina y señalar su postura consciente de la seguridad», dijo a Business Insider Jake Moore, especialista en ciberseguridad global de ESET.
«Básicamente, este modelo tiene un aspecto increíblemente impresionante y sólo mejorará con el tiempo», añadió Moore.
El método en el mito.
Anthropic dijo que durante su período de prueba, Mythos detectó «miles» de fallas de seguridad críticas, incluidas vulnerabilidades de día cero, que no tuvieron solución inmediata.
En comparación, los equipos humanos de élite que trabajan en estos temas descubren alrededor de 100 al año, dijo Ofer Amitai, cofundador de la startup Onit Security. «Así que eso es entre 10 y 100 veces la producción de un equipo humano de alto nivel, y reduce el desarrollo de exploits de semanas a horas», añadió.
Los modelos de lenguaje grande (LLM), la tecnología detrás de la IA como Mythos, se han vuelto increíblemente competentes en codificación porque tienen reglas y patrones estrictos. Esto también se aplica a la ciberseguridad, afirmó Erik Bloch, vicepresidente de seguridad de la información de Ilumio.
«Los LLM son fundamentalmente motores de lenguaje y el código es simplemente otro lenguaje», dijo Bloch. «Por eso no sorprende que puedan encontrar errores y vulnerabilidades que escapan a los humanos o a las herramientas basadas en reglas, especialmente problemas sutiles a nivel lógico».
Sin embargo, surgen preguntas sobre los costos y la escalabilidad. Anthropic dice que costó 20.000 dólares descubrir una vulnerabilidad de 27 años en un sistema operativo después de ejecutar Mythos miles de veces.
«Teniendo en cuenta los costos, ¿esto está cambiando? dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive. «¿Por dónde empezar? ¿Están los humanos evolucionando de manera más asequible que los agentes de IA?
Ataque versus defensa
La ciberseguridad es un juego continuo del gato y el ratón entre quienes intentan entrar y quienes intentan mantener alejados a los atacantes. ¿De qué lado se beneficia más Mythos?
En un mundo donde una herramienta como Mythos estuviera disponible públicamente, los atacantes se beneficiarían más en el corto plazo, dicen los expertos en ciberseguridad.
«Pueden generar phishing altamente dirigido, deepfakes convincentes o cadenas de exploits explotables con solo presionar un botón», dijo Mike Britton, director de información de Abnormal AI.
Luego, a medida que los defensores adoptaran tales herramientas, obtendrían una ventaja.
«Las herramientas basadas en capacidades de clase Mythos les permitirán encontrar, clasificar y remediar vulnerabilidades mucho más rápido a lo largo del ciclo de vida, devolviendo la ventaja a la defensa», dijo Amitai.
Anthropic dijo que sus propias pruebas de Mythos incluyeron alentar a la IA a salir de una caja de arena virtual. Un investigador de Anthropic dijo que luego recibieron «un correo electrónico inesperado del modelo mientras comía un sándwich en el parque».
«Si las capacidades presentadas aquí son realmente sustanciales y no exageradas, entonces yo, por mi parte, tengo serias preocupaciones sobre dónde vamos a terminar», dijo a Business Insider Dan Andrew, director de seguridad de Intruder.
Por ahora, Anthropic está poniendo a disposición de empresas seleccionadas una versión inicial de Claude Mythos, incluidas Google, Microsoft, JPMorgan Chase y CrowdStrike, para ayudarlas a probarlo en un entorno controlado como parte de lo que llama «Proyecto Glasswing».
“Las consecuencias –para las economías, la seguridad pública y la seguridad nacional– podrían ser graves”, afirmó Anthropic. «El Proyecto Glasswing es un intento urgente de aprovechar estas capacidades con fines defensivos».
Andrew dijo que si bien suena «aterrador», cree que Anthropic cree que el riesgo es real porque «no son los peores infractores en el revuelo contra las sustancias».
