La semana pasada, Anthropic causó pánico en toda la industria al anunciar Claude Mythos Preview, un modelo de inteligencia artificial capaz de detectar vulnerabilidades de ciberseguridad de alto nivel.
Entre sus logros, el modelo descubrió una vulnerabilidad ahora parcheada en OpenBSD, un sistema operativo conocido por su seguridad, que según Anthropic no había sido detectada durante 27 años.
La empresa también descubrió “miles de vulnerabilidades altas y críticas adicionales” en software de código abierto y cerrado, según la empresa.
Posteriormente, los expertos en tecnología y otros expertos se sorprendieron de que el gran modelo lingüístico pudiera alterar la ciberseguridad, pero un veterano de 25 años en la industria se muestra escéptico.
David Lindner, director de seguridad de la información de Contrast Security, dijo a Fortune que si bien Mythos puede ayudar a detectar muchos problemas, no es necesariamente el más importante.
“Nunca hemos tenido problemas para encontrar vulnerabilidades. Las encontramos todos los días. De hecho, tenemos un montón de ellas que simplemente no parcheamos”, dijo. “Así que no creo que realmente haga una diferencia”.
Lindner señaló que las debilidades son más fáciles de encontrar que de corregir, y señaló que la publicación del blog de Anthropic que anunciaba Mythos afirmaba que más del 99% de las vulnerabilidades descubiertas por el modelo no están parcheadas.
En particular, dijo, Mythos hace poco para abordar uno de los mayores problemas que enfrentan los expertos en ciberseguridad: la ingeniería social. Los piratas informáticos todavía pueden utilizar las herramientas existentes y la inteligencia artificial para hacerse pasar por el jefe de un empleado o por un especialista en TI y obtener acceso a los sistemas, argumenta.
Anthropic dijo que Mythos es tan poderoso que no se hará público y solo está disponible para un grupo de 40 organizaciones, incluidas empresas de tecnología como Microsoft, Apple y Google, así como otras como la empresa de ciberseguridad CrowdStrike y el banco JPMorgan Chase, para que puedan usar la tecnología para mejorar su propia infraestructura de seguridad en un proyecto llamado Proyecto Glasswing.
Debido a que tanta gente tiene acceso a este modelo, Lindner también predijo que no se mantendrá en secreto por mucho tiempo.
“Incluso si no lo publican, China tendrá una versión en cinco o seis meses, y una versión de código abierto saldrá dentro de uno o dos años”, dijo.
Por cierto, Fortune fue el primero en informar del desarrollo de Mythos gracias a un fallo de seguridad que provocó que la empresa dejara detalles de un gran modelo de lenguaje en una base de datos pública.
Mientras tanto, el capitalista de riesgo Marc Andreessen planteó la cuestión de si Anthropic realmente está retrasando el lanzamiento de Mythos debido a preocupaciones de seguridad o a la falta de recursos informáticos para respaldar el despliegue general. Anthropic ha experimentado recientemente cortes frecuentes y potencia informática limitada de los usuarios durante las horas pico, informó el Wall Street Journal este fin de semana.
Sin embargo, otros expertos en ciberseguridad siguen atentos a Mythos y su potencial para cambiar la ciberseguridad. Zach Lewis, director de información y director de seguridad de la información de la Universidad de Ciencias de la Salud y Farmacia de St. Louis, dijo a Fortune que le preocupa que Mythos facilite a los atacantes, incluso aquellos con poca experiencia en programación, la entrada en los sistemas.
“Los atacantes ni siquiera necesitan saberlo; no necesitan tener experiencia en codificación o diseño de software para comprender cómo funcionan estos sistemas. Pueden desplegar un agente para que lo haga por ellos”, dijo.
Parte de la solución para las organizaciones puede ser duplicar una estrategia que ya frustra cientos, si no miles, de intentos de explotación por día, dijo Lewis.
Esto incluye parchear las vulnerabilidades existentes y garantizar que los permisos de los empleados estén estrictamente limitados para que no puedan explotarse.
“Hay que encerrar estas cosas”, dijo.
