Anthropic está restringiendo el acceso a su nuevo modelo de IA después de que la empresa anunciara que había identificado miles de vulnerabilidades de software en los principales sistemas, lo que ha suscitado preocupación por un posible uso indebido en ciberataques.
Según Anthropic, el nuevo modelo de uso general también detectó vulnerabilidades de alta gravedad en todos los principales sistemas operativos y navegadores web.
“Dado el ritmo al que avanza la IA, no pasará mucho tiempo antes de que estas capacidades se generalicen, posiblemente más allá de los actores comprometidos con su implementación segura.”
La IA ya ha sido ampliamente adoptada por los hackers para llevar a cabo ciberataques. Se produjo un aumento interanual del 72 % en los ciberataques impulsados por IA, y el 87 % de las organizaciones a nivel mundial sufrirá ciberataques basados en IA en 2025, según AllAboutAI.
Anthropic expresó su preocupación por lo que sucedería si actores malintencionados utilizaran capacidades de IA similares.
Para combatir esto, Anthropic anunció el martes el Proyecto Glasswing, una nueva iniciativa que reúne a más de 40 empresas, entre las que se incluyen Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft y Nvidia.
El Proyecto Glasswing utilizará las capacidades de Claude Mythos Preview para detectar errores de forma defensiva, compartir los datos con sus socios y adelantarse a las amenazas corrigiendo vulnerabilidades críticas antes de que los actores maliciosos puedan explotarlas.
Se están descubriendo errores con décadas de antigüedad
Una vulnerabilidad de día cero es un error de software que puede ser explotado antes de que nadie con la capacidad de solucionarlo sepa siquiera que existe. Encontrarlos y parchearlos ha requerido históricamente conocimientos humanos especializados, escasos y costosos, pero la IA podría cambiar la escala y la velocidad de la detección.
Anthropic afirmó que las vulnerabilidades que encuentra son "a menudo sutiles o difíciles de detectar".
Muchas de ellas tienen 10 o 20 años, y la más antigua encontrada hasta ahora es un error de 27 años en OpenBSD —un sistema operativo conocido principalmente por su seguridad— que ya ha sido corregido, añadió.
También encontró un error de 16 años de antigüedad en la biblioteca de procesamiento multimedia FFmpeg, una vulnerabilidad de ejecución remota de código de 17 años en el sistema operativo de código abierto FreeBSD y numerosas vulnerabilidades en el núcleo de Linux.
Mythos Preview también identificó varias debilidades en las bibliotecas, algoritmos y protocolos de criptografía más populares del mundo, incluidos TLS, AES-GCM y SSH.
Añadió que las aplicaciones web "contienen una miríada de vulnerabilidades", que van desde el cross-site scripting y la inyección SQL hasta vulnerabilidades específicas de dominio, como la falsificación de solicitudes entre sitios, que se utiliza a menudo en ataques de phishing.
Anthropic afirmó que el 99 % de las vulnerabilidades que encontró aún no han sido parcheadas, "por lo que sería irresponsable por nuestra parte revelar detalles sobre ellas".
El software será más seguro, pero no de la noche a la mañana
Anthropic señaló que es probable que esto sea solo el comienzo de una tendencia y que "la labor de defender la infraestructura cibernética mundial podría llevar años", pero la IA ayudará a reforzar el software y los sistemas.
“A largo plazo, esperamos que las capacidades de defensa prevalezcan: que el mundo sea más seguro, con un software mejor fortificado, en gran parte gracias al código escrito por estos modelos. Pero el periodo de transición será complicado.”
Este artículo no contiene consejos ni recomendaciones de inversión. Toda inversión y operación conlleva riesgos, y los lectores deben realizar sus propias investigaciones antes de tomar una decisión. Aunque nos esforzamos por proporcionar información precisa y oportuna, Cointelegraph no garantiza la exactitud, integridad o fiabilidad de la información contenida en este artículo. Este artículo puede contener declaraciones prospectivas que están sujetas a riesgos e incertidumbres. Cointelegraph no se hace responsable de ninguna pérdida o daño que se derive de la confianza depositada en esta información.
