Anthropic ha descartado la posibilidad de lanzar al público su último modelo de inteligencia artificial, Mythos, debido a la amenaza que representa para la ciberseguridad global.
Sin embargo, la startup tecnológica estadounidense detrás del chatbot Claude confirmó el miércoles que estaba investigando un informe de que un grupo de personas había obtuvo acceso no autorizado a Mythos. El presunto incidente ha generado preocupaciones sobre el ritmo de desarrollo y la capacidad de las empresas de tecnología para mantener sus productos más riesgosos fuera del dominio público. Aquí analizamos los Mitos y su impacto potencial.
¿Qué es el mito?
Mythos es un modelo de IA (la tecnología subyacente que impulsa herramientas como los chatbots) que, según Anthropic, plantea una grave amenaza potencial para la ciberseguridad de cualquier organización. antrópico anunció la existencia de los Mitos. el 7 de abril, pero dijo que no se haría público debido a su capacidad para identificar fallas desconocidas en los sistemas de TI. En teoría, estos fallos podrían ser aprovechados por los piratas informáticos.
Anthropic dijo que Mythos podría identificar y explotar fallas de “día cero” en todos los principales sistemas operativos de TI y navegadores web, si un usuario lo solicitara. Los días cero se llaman así porque las organizaciones y los desarrolladores los desconocen por completo y no han tenido tiempo de solucionarlos antes de que ataque un atacante.
Anthropic lo describió como un “momento decisivo para la ciberseguridad”. Algunas de las fallas inadvertidas habían existido durante décadas, dijo la compañía de San Francisco.
La startup permitió a empresas de tecnología y bancos, incluidos Apple y Goldman Sachs, acceder al modelo y evaluar los riesgos que podría representar para sus negocios y clientes.
¿Por qué es motivo de preocupación?
Mythos representa una evidencia tangible, según el Instituto de Seguridad de IA (AISI) del Reino Unido, de las capacidades disruptivas de la IA avanzada. Desde la llegada de ChatGPT de OpenAI en 2022, los expertos han advertido que la IA podría causar graves daños en el mundo real.
También hay un punto más amplio: que los Mitos son una indicación del ritmo del progreso en la IA. Los modelos avanzados tienden a ser replicados rápidamente por otras empresas, incluidos los desarrolladores de modelos de código abierto que están disponibles gratuitamente para los usuarios. En una carta conjunta dirigida a los líderes empresariales el mes pasado, la secretaria de tecnología del Reino Unido, Liz Kendall, y el ministro de seguridad, Dan Jarvis, dijeron que las empresas debían “planificar en consecuencia” para que las capacidades de IA “aumentaran rápidamente” durante el próximo año. Por supuesto, la IA también se puede utilizar para defenderse de los ciberataques.
Otra preocupación es que Mythos pueda caer en las manos equivocadas, a pesar de que se le ha impedido ser hecho público. Ese temor se hizo realidad esta semana, cuando Anthropic confirmó que un “puñado” de usuarios en un foro privado en línea obtuvo acceso al modelo.
Sin embargo, también existe una pregunta sobre la importancia de las miles de vulnerabilidades que Mythos ha señalado. ¿Pueden causar daños graves? Además, resaltar un fallo informático no es lo mismo que explotarlo.
¿Mythos ha sido evaluado por expertos?
AISI, que es el organismo de seguridad de IA líder en el mundo, echó un vistazo a los mitos y dice que es un “avance” respecto a modelos anteriores en términos de amenaza a la ciberseguridad. Entre las señales de advertencia se encuentra la capacidad de llevar a cabo ataques que implican múltiples pasos e identificar fallas de TI sin guía humana.
También logró una innovación a ojos de AISI: completar con éxito una simulación de 32 pasos de un ciberataque en una prueba creada por el instituto. Puede atacar sistemas informáticos pequeños y débiles, afirmó AISI, aunque no pudo dar un veredicto sobre sistemas bien defendidos. El instituto concluyó su evaluación con una observación que a menudo se expresa en otros lugares: los sistemas de IA sólo pueden mejorar a partir de aquí.
Richard Horne, director ejecutivo del Centro Nacional de Seguridad Cibernética del Reino Unido, dijo en la conferencia CyberUK en Glasgow esta semana que la aparición de Mythos ayudaría a alentar a las empresas a reemplazar la “tecnología obsoleta”. “Esto no hace más que aumentar la urgencia”, añadió.
Sin embargo, otros expertos han dicho que los Mitos son más una evolución que una revolución. Aisle, una empresa que trabaja en ciberseguridad de IA, analizó las afirmaciones clave de Anthropic: que había encontrado miles de vulnerabilidades de día cero en los principales sistemas operativos y navegadores, incluido uno en FreeBSD, un primo de UNIX. Resultó que otros modelos mucho más baratos también lograron encontrar estos problemas. Eso no significaba que las capacidades de Mythos no fueran significativas, dijeron, sino que había más matices de los que sugería el tono urgente de Anthropic.
Los expertos también advierten que la mayoría de las infracciones todavía provienen de riesgos bien establecidos, como una autenticación débil y vulnerabilidades conocidas que no han sido reparadas.
Algunos expertos sugieren que hay un elemento de exageración en torno a las afirmaciones de Anthropic sobre Mythos y cómo las presentó una startup con un valor estimado en alrededor de $ 800 mil millones (£ 592 mil millones). Mythos es sin duda un modelo capaz. Sin embargo, el dramático anuncio de Anthropic le dio un tiempo de emisión significativo y centró su producto en una discusión más amplia y completa sobre cómo la IA puede contribuir al riesgo cibernético.
¿Cómo intervienen las empresas tecnológicas y los bancos?
Alrededor de 40 empresas, entre ellas Google, JP Morgan y Goldman, han tenido acceso temprano a Mythos a través de una iniciativa llamada Proyecto Glasswing, cuyo objetivo es brindar a las empresas la oportunidad de probar el modelo de IA como parte de sus ciberdefensas. Anthropic dice que compartirá lo que aprenda “para que toda la industria pueda beneficiarse”.
Sin embargo, los socios de lanzamiento no han dado detalles sobre de qué creen que Mythos es capaz de hacer y hasta qué punto podría representar una amenaza.
Eso no ha impedido que los bancos y los reguladores especulando sobre su posible impacto. Y por una buena razón: si las advertencias de Anthropic son correctas, dejar Mythos en las manos equivocadas podría causar estragos en los bancos y potencialmente poner en riesgo al sistema financiero en general.
El gobierno del Reino Unido modela el peor escenario de piratería bancariaelaborado incluso antes de que se creara Mythos, sugería que los débitos directos podrían fallar, dejando impagos el alquiler, las hipotecas y los salarios, mientras que los retiros bancarios en línea y los retiros en cajeros automáticos podrían bloquearse. Los pasajeros podrían quedar en el limbo si los autobuses y las gasolineras rechazan los pagos. Eso podría provocar pánico, lo que llevaría a una corrida contra los prestamistas rivales a medida que los clientes retiren dinero de sus cuentas por temor a que la perturbación se extienda.
La preocupación por posibles amenazas de Mythos llevó al Secretario del Tesoro de Estados Unidos, Scott Bessent, a convocar una reunión con jefes de grandes bancos americanosincluidos Goldman y Citi, en Washington a principios de este mes.
Los reguladores del Reino Unido agregaron Mythos a la agenda en Grupo de resiliencia operativa entre mercados reuniones esta semana. Esto lo coloca en discusiones de alto nivel entre banqueros de alto nivel, así como funcionarios del Tesoro, el Banco de Inglaterra, la Autoridad de Conducta Financiera y el Centro Nacional de Seguridad Cibernética.
