IA. Project Glasswing: Anthropic reveló que "Mythos" ya detectó más de 10 mil fallas críticas de seguridad

Anthropic publicó este viernes una actualización de "Project Glasswing", el programa que lanzó el mes pasado junto a compañías tecnológicas, bancos y especialistas en ciberseguridad para detectar vulnerabilidades críticas en algunos de los sistemas informáticos más importantes del mundo.

Según explicó la empresa, el proyecto ya permitió encontrar más de 10 mil fallas de alta o crítica severidad utilizando “Mythos Preview”, un modelo experimental de inteligencia artificial enfocado en razonamiento y seguridad informática.

La compañía sostuvo que el principal desafío ya no pasa por descubrir errores de software, sino por la capacidad humana para verificarlos, informar a los desarrolladores y corregirlos antes de que puedan ser explotados por ciberdelincuentes.

“Antes, el progreso en seguridad informática estaba limitado por la velocidad con la que podíamos encontrar nuevos errores. Ahora está limitado por la velocidad con la que podemos verificar, divulgar y reparar las grandes cantidades de vulnerabilidades que la IA encuentra”, señaló Anthropic en el informe.

Project Glasswing fue presentado por Anthropic como una iniciativa colaborativa para reforzar la seguridad del software más sensible de internet y de infraestructuras críticas antes de que modelos avanzados de IA puedan ser utilizados para ataques masivos.

La propuesta reúne a cerca de 50 socios estratégicos que trabajan sobre sistemas considerados fundamentales para el funcionamiento de servicios digitales, redes y plataformas utilizadas por millones de personas.

Según Anthropic, varias empresas lograron multiplicar por más de diez la velocidad con la que encuentran vulnerabilidades gracias al uso del modelo.

Uno de los casos citados fue el de Cloudflare, que informó haber detectado 2 mil errores en sus sistemas críticos, de los cuales 400 fueron clasificados como fallas graves o críticas. La empresa incluso aseguró que la tasa de falsos positivos fue menor que la obtenida por equipos humanos.

Mozilla también participó de las pruebas y afirmó haber encontrado y corregido 271 vulnerabilidades en Firefox 150 utilizando Mythos Preview, una cifra más de diez veces superior a la obtenida anteriormente con otros modelos de IA.

Uno de los ejes centrales del informe es la advertencia sobre el nuevo escenario que enfrenta la industria tecnológica con la llegada de modelos cada vez más capaces.

Anthropic explicó que herramientas similares a Mythos Preview probablemente estarán disponibles en otras compañías en el corto plazo, lo que podría acelerar enormemente el descubrimiento y explotación de fallas informáticas.

“El período intermedio, mientras las vulnerabilidades se descubren rápidamente y se corrigen lentamente, presenta nuevos riesgos”, advirtió la empresa.

La compañía remarcó que actualmente existe una ventana crítica entre el descubrimiento de una vulnerabilidad y la instalación masiva de parches de seguridad, un lapso que podría ser aprovechado por atacantes.

Por eso, recomendó a desarrolladores y empresas acelerar sus ciclos de actualización, reforzar sistemas de autenticación y endurecer configuraciones de seguridad de redes y servidores.

Anthropic también reveló que utilizó Mythos Preview para escanear más de 1.000 proyectos de software de código abierto, muchos de ellos esenciales para el funcionamiento de internet y de la propia infraestructura tecnológica de la compañía.

Hasta ahora, el sistema detectó más de 23 mil posibles vulnerabilidades, incluidas 6.202 consideradas de alta o crítica severidad.

Tras revisiones realizadas por investigadores externos, más del 90% de los errores analizados resultaron ser verdaderos problemas de seguridad reales.

Uno de los ejemplos mencionados por Anthropic fue una vulnerabilidad descubierta en wolfSSL, una biblioteca criptográfica utilizada por miles de millones de dispositivos en todo el mundo. Según la empresa, el fallo permitía falsificar certificados digitales y crear sitios web fraudulentos aparentemente legítimos.

Pese a los resultados, Anthropic aclaró que todavía no considera seguro lanzar públicamente modelos con capacidades equivalentes a Mythos Preview.

La empresa sostuvo que actualmente “ninguna compañía” cuenta con salvaguardas suficientemente robustas para impedir que herramientas de este tipo sean utilizadas con fines maliciosos.

“Todavía no hemos desarrollado protecciones lo suficientemente fuertes para impedir que estos modelos sean usados indebidamente y potencialmente causen daños severos”, afirmó la compañía.

Sin embargo, Anthropic aseguró que planea seguir expandiendo Project Glasswing junto a gobiernos y organizaciones estratégicas, mientras trabaja en mecanismos de seguridad que permitan eventualmente publicar modelos de este nivel de capacidad.