Restricciones de acceso de la IA de Anthropic: 99% de vulnerabilidades sin parchear, defensa conjunta de 40 gigantes

Anthropic anunció que su nuevo modelo de IA general de uso, Claude Mythos Preview, ha sido detectado con miles de vulnerabilidades graves en sistemas operativos principales, navegadores web y protocolos de cifrado, y que el 99% aún no ha sido corregido. Dado que los actores maliciosos pueden aprovechar esta capacidad, Anthropic solo lo proporciona a socios seleccionados y, al mismo tiempo, puso en marcha el «Proyecto Alas de Cristal», que reúne a más de 40 organizaciones.

Descubrimientos de Claude Mythos Preview: de vulnerabilidades antiguas de 27 años a puntos débiles en protocolos de cifrado

(Fuente: PhoenixNAP)

El alcance y la profundidad de las vulnerabilidades que Claude Mythos Preview ha escaneado superan con creces las expectativas de la industria. Anthropic afirma que estas vulnerabilidades «normalmente son muy sutiles o difíciles de detectar» y que la mayoría han permanecido latentes en los sistemas durante décadas; todos los principales softwares presentan vulnerabilidades de seguridad de alto nivel, incluidos todos los sistemas operativos principales y navegadores web.

Los hallazgos concretos incluyen: una vulnerabilidad latente de 27 años en OpenBSD (ya corregida), la más antigua de las vulnerabilidades encontradas hasta el momento; una vulnerabilidad antigua de 16 años en la biblioteca multimedia FFmpeg; una vulnerabilidad antigua de 17 años de ejecución remota de código en el sistema operativo FreeBSD; y una gran cantidad de vulnerabilidades en el núcleo de Linux. Las bibliotecas y los protocolos criptográficos de uso más extendido del mundo tampoco se han salvado: se han descubierto puntos débiles en TLS, AES-GCM y SSH. En aplicaciones web, las vulnerabilidades abarcan vectores de ataque comunes como ataques de secuencias cruzadas (XSS), inyección SQL y falsificación de solicitud entre sitios (CSRF).

Debido a que el 99% de las vulnerabilidades descubiertas aún no se ha corregido, Anthropic indica explícitamente que no publicará los detalles de las vulnerabilidades: «Si divulgáramos los detalles de estas vulnerabilidades, sería irresponsable».

Proyecto Alas de Cristal: una red de defensa proactiva liderada por 40 gigantes tecnológicos y financieros

El martes, Anthropic anunció el inicio del «Proyecto Alas de Cristal», aplicando las capacidades de detección de vulnerabilidades de Claude Mythos Preview con fines defensivos, completando las correcciones antes de que los actores maliciosos las aprovechen, y compartiendo datos de vulnerabilidades entre los socios para lograr una defensa coordinada.

Principales instituciones participantes en el Proyecto Alas de Cristal

· Servicios en la nube de Amazon (Amazon Web Services)

· Apple (Apple)

· Cisco (Cisco)

· Google (Google)

· JPMorgan Chase (JPMorgan Chase)

· Fundación Linux (Linux Foundation)

· Microsoft (Microsoft)

· NVIDIA (NVIDIA)

(Participan más de 40 instituciones en total)

El trasfondo del lanzamiento de este proyecto es el siguiente: el número de ciberataques impulsados por IA está creciendo a un ritmo interanual del 72%, y se espera que para 2025 el 87% de las organizaciones globales se enfrenten a ciberataques impulsados por IA. Anthropic considera que responder de manera proactiva con el poder de la IA es la solución más sistémica disponible en este momento.

Perspectiva a largo plazo: la capacidad de defensa acabará dominando, pero el período de transición está lleno de desafíos

Anthropic subraya que «proteger la infraestructura de red mundial puede requerir varios años», pero mantiene una cautelosa pero optimista visión a largo plazo. Se espera que «la capacidad de defensa ocupará un lugar predominante: el mundo será más seguro y el software será más sólido, en gran parte gracias al código escrito con estos modelos. Pero el período de transición estará lleno de desafíos».

Anthropic también advierte que «dado la velocidad con la que se desarrolla la IA, esta capacidad se difundirá muy pronto y podría quedar fuera del alcance de quienes se dedican al despliegue de seguridad», y esta es la lógica central que limita el acceso a Claude Mythos Preview.

Preguntas frecuentes

¿Por qué Anthropic limita el acceso a Claude Mythos Preview?

Claude Mythos Preview ya tiene la capacidad de superar ampliamente a la gran mayoría de los humanos en la detección y explotación de vulnerabilidades de software. Anthropic teme que, si esta capacidad se difunde de manera amplia, podría usarse para realizar ciberataques a gran escala. Por ello, Anthropic ha decidido proporcionar este modelo solo de forma dirigida a socios seleccionados, para garantizar que la capacidad se aplique dentro de un alcance controlable.

¿Qué es el Proyecto Alas de Cristal (Project Glasswing)?

El Proyecto Alas de Cristal es un plan de seguridad defensiva con IA liderado por Anthropic. Reúne a más de 40 empresas tecnológicas e instituciones financieras. Utiliza Claude Mythos Preview para escanear de forma proactiva las vulnerabilidades de seguridad en los sistemas de los socios, completar las correcciones antes de que los atacantes las aprovechen y compartir los datos de vulnerabilidades entre los socios para lograr una defensa coordinada de manera sistemática.

¿Las vulnerabilidades descubiertas por Claude Mythos Preview ya se han divulgado públicamente?

Anthropic indica que, de las vulnerabilidades descubiertas, el 99% aún no se ha corregido. Por lo tanto, la empresa afirma explícitamente que no publicará los detalles concretos de las vulnerabilidades, para evitar proporcionar rutas de ataque a actores maliciosos. Entre los casos ya corregidos se incluye una vulnerabilidad latente de 27 años en OpenBSD.