Los expertos advierten que la ciberamenaza ya estaba aquí |

Los bancos globales, los gigantes tecnológicos y los gobiernos se han apresurado durante el último mes para contener los riesgos planteados por Mythos, el modelo que Anthropic consideraba tan poderoso que descubrió miles de vulnerabilidades previamente desconocidas en la infraestructura de software del mundo.

Sólo hay un problema: la capacidad que les preocupa ya existe.

Expertos en ciberseguridad e investigadores de inteligencia artificial dijeron a CNBC que las vulnerabilidades de software reveladas por Mythos se pueden encontrar utilizando modelos existentes, incluidos los de Anthropic y OpenAI.

«Lo que estamos viendo ahora en toda la industria es que las personas son capaces de replicar las vulnerabilidades descubiertas con Mythos a través de la orquestación inteligente de modelos públicos para lograr resultados muy, muy similares», dijo ben harrisCEO de una empresa de ciberseguridad Laboratorios WatchTowr.

El mito tembló líderes y formuladores de políticas También temen que se acerque una nueva y peligrosa era de delitos cibernéticos impulsados ​​por la IA. Anthropic ha limitado su lanzamiento a unas pocas empresas estadounidenses, incluidas Manzana, Amazonas, JPMorgan Chase Y Redes de Palo Alto para reducir el riesgo de que los malos actores se apoderen de él.

Incluso con esta precaución, la publicación incitó a la administración Trump considerar una nueva supervisión gubernamental de los modelos futuros.

Es el último de una serie de lanzamientos de alto perfil de Anthropic que han intensificado su rivalidad con OpenAI a medida que los dos gigantes de la IA se acercan a sus tan esperadas OPI. Unas semanas después de la llegada de Mythos, Sam Altman, CEO de OpenAI, anunció GPT-5.5-Cyber, un modelo específicamente adaptado a la ciberseguridad.

OpenAI otorgó acceso limitado a GPT-5.5-Cyber ​​​​a equipos de ciberseguridad examinados el jueves.

El despliegue controlado de Mythos, como parte de una medida de seguridad denominada Proyecto Ala de VidrioEra dar tiempo al mundo empresarial para preparar sus defensas cibernéticas contra una ola de ataques de grupos criminales y naciones antagónicas.

«El peligro es simplemente un enorme aumento en el número de vulnerabilidades, en el número de infracciones, en el daño financiero que el ransomware causa a las escuelas, a los hospitales, sin mencionar a los bancos», dijo esta semana el director ejecutivo de Anthropic, Dario Amodei, en un evento de Anthropic.

Pero para quienes luchan en las trincheras de la guerra cibernética, una de las capacidades clave anunciadas por Anthropic (detectar vulnerabilidades de software a escala) existe desde hace tiempo. el año pasado.

«Los modelos que tenemos ahora son lo suficientemente potentes como para detectar el día cero a gran escala, y eso ya es bastante aterrador». Klaudia Klocdijo a CNBC el director ejecutivo de la empresa de ciberseguridad Vidoc.

Este ha sido el caso durante “unos meses, incluso un año”, dijo.

El término «día cero» se refiere a una falla de software previamente desconocida que no ha sido reparada, lo que brinda a los atacantes una ventana para explotarla antes de que los defensores puedan reaccionar.

Los investigadores de Vidoc se basaron en una técnica llamada «orquestación» para prueba si pudieran encontrar las mismas vulnerabilidades que Mythos. Como sugiere el nombre, el proceso implica la creación de flujos de trabajo que dividen el código en partes más pequeñas, coordinando varias herramientas o modelos para verificar los resultados.

«Ejecutamos modelos más antiguos en la misma base de código para ver si podíamos detectar las mismas vulnerabilidades», dijo Kloc. «Lo hicimos con los modelos antiguos de OpenAI y Anthropic».

Otra empresa de ciberseguridad, PASILLOdescubrió que muchos de los resultados clave de Mythos podrían replicarse utilizando modelos más baratos que se ejecutan en paralelo, lo que sugiere que la escala y la coordinación eran más importantes que tener el último modelo.

«Mil detectives expertos que buscan por todas partes encontrarán más errores que un detective brillante que tenga que adivinar dónde buscar», escribió en su blog el fundador de AISLE, Stanislav Fort. trabajo.

En sus comentarios a CNBC, Anthropic no cuestionó que los modelos anteriores fueran capaces de detectar vulnerabilidades de software.

De hecho, dijo un portavoz de la compañía, Anthropic ha estado advirtiendo durante meses que las capacidades cibernéticas de la IA están avanzando rápidamente. Destacaron febrero publicación de blog mostrando que Claude Opus 4.6, un modelo ampliamente disponible, encontró más de 500 vulnerabilidades de «alta gravedad» en software de código abierto.

En el evento Anthropic de esta semana, Amodei afirmó este punto, diciendo que si bien la escala de vulnerabilidades de software descubiertas por Mythos aumentó en comparación con los modelos anteriores, la tendencia no era nueva.

«Los riesgos son muy reales. Por eso tomamos las medidas que tomamos», dijo Amodei. «Pero, en cierto sentido, tampoco son tan sorprendentes… Hemos estado recibiendo advertencias sobre esto durante algún tiempo».

Lo que distingue a Mythos es su capacidad para dar el siguiente paso, desarrollar hazañas funcionales con poca o ninguna intervención humana, automatizando efectivamente un proceso que anteriormente requería investigadores capacitados, dijo el portavoz de Anthropic.

Pero los piratas informáticos que trabajan para grupos criminales y países adversarios ya poseen este conjunto de habilidades, dicen los investigadores cibernéticos. Los piratas informáticos de Corea del Norte, China y Rusia “saben cómo hacer esto, con o sin Anthropic”, dijo Kloc.

Según Harris, la amenaza de la piratería basada en IA tiene a las empresas y a los reguladores gubernamentales preocupados por proteger sistemas cruciales de una nueva ola de ransomware y otros tipos de ataques.

Calificó de “histeria” las conversaciones con bancos, aseguradoras y reguladores de las últimas semanas.

Incluso antes de la llegada de la IA generativa, las empresas se enfrentaban al problema de los piratas informáticos experimentados que explotaban nuevas vulnerabilidades en cuestión de horas, mientras que la actualización del código a menudo llevaba días o incluso semanas. Algunas soluciones requieren desconectar sistemas clave, lo que complica las cosas.

«La industria está entrando en pánico por la cantidad de vulnerabilidades que enfrenta actualmente», dijo Harris. «Pero incluso antes de que Mythos estuviera ampliamente disponible, no podía corregir rápidamente las vulnerabilidades».

Anteriormente, dijo Harris, sólo una pequeña población de expertos en el mundo tenía la capacidad y el tiempo para encontrar vulnerabilidades oscuras en el software y explotarlas. Ahora, con los modelos de IA actualmente disponibles, se han reducido las barreras de entrada para causar ciberdevastación.

Eso significa que los bancos y otros objetivos enfrentarán más ataques, y los sistemas de software que antes no atraían tanto interés por parte de los ciberdelincuentes ahora enfrentarán amenazas, dijo Harris.

por JPMorgan Jamie Dimon lo sugirió cuando dijo el mes pasado que, si bien las herramientas de inteligencia artificial podrían eventualmente ayudar a las empresas a defenderse contra los ciberataques, primero las harían más vulnerables.

«Hay un aumento significativo en el volumen de vulnerabilidades descubiertas, pero no parecen haber implementado una herramienta que ayude a parchearlas», dijo justin arenquesocio del bufete de abogados Mayer Brown y ex superintendente ejecutivo adjunto de ciberseguridad del regulador financiero de Nueva York.

“La gestión de vulnerabilidades es increíble Sísifo tarea de ciberseguridad”, dijo Herring.

El grupo limitado que formó parte de la versión inicial de Mythos ha conseguido una ventaja en la corrección de las vulnerabilidades, pero hay un inconveniente. Los investigadores de IA no han tenido acceso a Mythos para verificar de forma independiente las afirmaciones de Anthropic o para comenzar a construir defensas contra él.

Algunos dicen que esto impide que la comunidad cibernética en general sea parte de la solución.

Esto ha creado «capas de ricos y pobres», lo que podría ralentizar el ritmo de la innovación en ciberseguridad, dijo. Pavel GurvitchCEO de la startup de ciberseguridad Tenzai, que utiliza los modelos de Anthropic.

Muchas nuevas empresas de ciberseguridad están trabajando en soluciones que puedan ayudar a las empresas en esta nueva era de la IA, afirmó.

«Están tratando de encontrar la mejor manera de arreglar el mundo antes de que esté disponible para el mundo», dijo Ben Seri, cofundador de la startup de ciberseguridad Zafran Security. «Es ese tipo de situación del huevo y la gallina, y vas a romper huevos. Es inevitable».