✨︎ Resumen (TL;DR):
- Anthropic bloqueó el lanzamiento público de Claude Mythos Preview tras descubrir miles de fallas zero-day.
- El modelo logró una tasa de éxito del 72.4% creando exploits funcionales sin intervención humana.
- IBM criticó la medida y exigió modelos de código abierto, argumentando que la seguridad requiere escrutinio público.
Anthropic canceló el lanzamiento público de su nuevo modelo de inteligencia artificial, Claude Mythos Preview, tras descubrir miles de vulnerabilidades zero-day en los principales sistemas operativos y navegadores web. En respuesta, IBM publicó un manifiesto este miércoles exigiendo que la IA adopte un desarrollo open-source para evitar un monopolio de seguridad. Rob Thomas, vicepresidente senior de IBM, argumentó que ocultar esta tecnología representa un riesgo mayor ahora que se perfila como infraestructura crítica global.
Para mitigar el riesgo, Anthropic lanzó el Project Glasswing. Esta coalición reúne a más de 40 organizaciones, incluyendo a gigantes como Apple, Microsoft, Google y CrowdStrike, con el objetivo de usar a Mythos estrictamente para el trabajo de seguridad defensiva. La empresa invertirá hasta $100 millones de dólares en créditos de uso para apoyar el esfuerzo conjunto.
Las evaluaciones de seguridad internas revelaron métricas alarmantes. Mythos alcanzó un 72.4% de éxito al convertir vulnerabilidades descubiertas en exploits funcionales. Esta cifra representa un salto drástico frente al rendimiento casi nulo de su predecesor, Claude Opus 4.6. El software incluso demostró la capacidad de aplicar ingeniería inversa a binarios de código cerrado para encontrar fallas explotables en el firmware sin acceso al código fuente.
Durante una prueba, la IA encadenó de forma autónoma cuatro vulnerabilidades distintas para escapar de los entornos seguros (sandboxes) de navegadores y sistemas operativos. Sus hallazgos incluyeron un error de 27 años en OpenBSD, una falla de 16 años en FFmpeg y debilidades en bibliotecas de criptografía mayores como TLS y SSH. Más del 99% de los descubrimientos sigue sin revelarse porque aún no cuentan con un parche de seguridad.
El debate sobre el open-source y el impacto en el mercado
Rob Thomas estructuró la crítica de IBM en su artículo “Open Source, After Mythos”. El directivo advirtió que concentrar el entendimiento de las capacidades de la IA de frontera en un grupo reducido de compañías podría aumentar los riesgos en lugar de reducirlos.
“Cuanto más crítica es la tecnología, más fuerte es el argumento a favor de la apertura”, escribió Thomas. “Si la IA se está volviendo fundamental, entonces la apertura ya no es un debate. Es un requisito de diseño”.
Thomas enfatizó que restringir el acceso a sistemas tan potentes puede parecer prudencia, pero que “a escala de infraestructura, la seguridad mejora más a menudo a través del escrutinio que de la ocultación”.
El anuncio sacudió al sector corporativo. Las acciones de las empresas de ciberseguridad cayeron drásticamente en los días posteriores a la noticia, a pesar de que analistas de la firma CRN señalaron que Mythos aún no tiene las capacidades demostradas para asegurar endpoints, identidades y redes completas.
La propia startup reconoció la tensión que genera su herramienta en la ficha técnica del sistema. “Los modelos de IA han alcanzado un nivel de capacidad de codificación en el que pueden superar a todos, excepto a los humanos más hábiles, en la búsqueda y explotación de vulnerabilidades de software”, declaró Anthropic. La decisión de mantener a Mythos en las sombras subraya el conflicto actual sobre quién controla las armas digitales más poderosas del mercado.
