Transformacion Digital
Inteligencia Artificial 6 min lectura

Anthropic retiene Mythos: un modelo de IA que detecta fallas críticas en software

Anthropic decidió no publicar Mythos Preview tras detectar miles de vulnerabilidades en software crítico. La empresa lanzó Glasswing, una alianza con grandes proveedoras para usar el modelo en la corrección segura de fallas.

Por Redaccion TD
#anthropic #ciberseguridad #modelos-de-ia #seguridad-informatica #riesgo-tecnologico
Anthropic retiene Mythos: un modelo de IA que detecta fallas críticas en software

Qué es Mythos y por qué Anthropic lo detuvo

Anthropic desarrolló Mythos Preview, un nuevo modelo de inteligencia artificial centrado en código que, según la compañía, identificó miles de vulnerabilidades en software en cuestión de semanas. Debido a la potencia de sus capacidades y al riesgo que representaría su uso público —tanto por la identificación de fallas como por su capacidad para programar exploits— Anthropic optó por no liberar el modelo abiertamente.

La decisión pone en evidencia un nuevo tipo de riesgo: ya no se trata solo de modelos que generen desinformación, sino de herramientas que pueden mapear errores en infraestructuras críticas y automatizar su explotación. Anthropic argumenta que retener Mythos es una medida de precaución mientras se trabaja en mitigaciones y en un despliegue controlado.

Glasswing: colaboración privada para parchear antes de que alguien explote las fallas

Para atajar el problema, Anthropic lanzó Glasswing, un proyecto colaborativo con una docena de empresas tecnológicas de primer nivel. En la lista de participantes figuran compañías como Apple, Amazon Web Services, Google, Microsoft, Nvidia y CrowdStrike. Además, Anthropic ofreció acceso a Mythos Preview a otras 40 organizaciones que administran infraestructura crítica y ha mantenido comunicación con el gobierno de Estados Unidos.

La lógica detrás de Glasswing es sencilla: permitir que quienes gestionan sistemas críticos usen el modelo para identificar y remediar vulnerabilidades antes de que actores maliciosos puedan aprovecharlas. Anthropic presenta la medida como un enfoque responsable para explotar las capacidades del modelo sin liberar una herramienta que pueda ser usada para dañar.

Hallazgos concretos: vulnerabilidades con décadas sin parchear

Entre las vulnerabilidades que Mythos detectó y que ya fueron corregidas hay ejemplos llamativos por su antigüedad y criticidad. El modelo encontró una falla de 27 años en OpenBSD, un sistema operativo conocido por su enfoque en la seguridad, y otra de 16 años en FFmpeg, una biblioteca ampliamente usada en procesamiento y reproducción de video. También se reportaron varias vulnerabilidades en el núcleo de Linux que, en algunos casos, permitían escalar privilegios desde un usuario estándar hasta el control total de la máquina.

Anthropic destaca que Mythos no solo identifica las fallas: también es capaz de escribir el exploit que aprovecha el defecto. Esto subraya la doble arista del descubrimiento automatizado: por un lado, facilita la corrección masiva; por el otro, acelera la capacidad de abuso en manos equivocadas.

Más poder y más precauciones: documentación y comparativa con modelos anteriores

Mythos surge después de avances en modelos de generación de código de Anthropic, como Sonnet (mencionado por la compañía como un hito reciente). La firma publicó además un manual técnico de 244 páginas que explica en qué se diferencia Mythos de sus predecesores Sonnet y Opus, y cómo maneja tareas complejas de programación y análisis de seguridad.

En la presentación pública del proyecto, uno de los científicos de Anthropic, Nicholas Carlini, señaló que Mythos encontró en pocas semanas más vulnerabilidades de las que él había hallado en toda su carrera profesional, lo que ilustra la magnitud de la capacidad del modelo.

Riesgos reales y críticas: ¿precaución o estrategia de marketing?

El anuncio ha generado debates legítimos. Algunos observadores sospechan que la retención del modelo podría tener razones estratégicas o de marketing. No obstante, existe un precedente claro: en 2019 OpenAI retrasó la publicación de GPT-2 por considerarlo potencialmente peligroso para generar desinformación masiva. Dario Amodei, actual presidente ejecutivo de Anthropic, jugó un papel relevante en OpenAI en ese momento, y la decisión de Anthropic se interpreta en ese contexto histórico.

La diferencia ahora es que el riesgo es más fácil de verificar: una vulnerabilidad o no existe, y un exploit puede comprobarse. Eso transforma el debate de lo teórico a lo práctico: ¿cómo balancear el uso responsable de herramientas con capacidades de doble filo sin dejar desprotegidos a usuarios y sistemas?

Marco regulatorio y fricción con el gobierno de EE. UU.

La tensión entre Anthropic y el gobierno estadounidense ya se materializó en otra disputa: el Departamento de Defensa catalogó recientemente a la compañía como un “riesgo para la cadena de suministro”, una medida que restringía sus contratos con la Administración federal. Anthropic llevó el caso a los tribunales y obtuvo una resolución favorable. En sus acuerdos con agencias gubernamentales, la compañía estableció dos condiciones explícitas: que sus modelos no sean usados para espionaje masivo de civiles ni para el manejo de armas autónomas sin supervisión humana.

Ese episodio recuerda que, al mismo tiempo que surgen modelos con capacidades inéditas, las relaciones entre empresas tecnológicas y Estados se vuelven más complejas, con implicaciones para adquisiciones, contratación pública y seguridad nacional.

Relevancia y recomendaciones para América Latina

Para tomadores de decisión y responsables de tecnología en América Latina, el caso Mythos plantea varias lecciones prácticas:

  • No subestimar la velocidad del descubrimiento automatizado: herramientas avanzadas de IA pueden identificar fallas que pasan años desapercibidas. Eso obliga a revisar estrategias de mantenimiento y respuesta.

  • Fomentar alianzas público-privadas: iniciativas como Glasswing muestran que la colaboración entre fabricantes de tecnología y operadores de infraestructura crítica acelera la corrección de vulnerabilidades. Gobiernos y empresas de la región deberían explorar mecanismos locales de cooperación y programas de divulgación responsable.

  • Fortalecer programas de seguridad y capacitación: la automatización no elimina la necesidad de expertos humanos. Invertir en formación en seguridad de software y en equipos de respuesta a incidentes es clave.

  • Considerar políticas de gobernanza y riesgo: los reguladores regionales deberán actualizar normas sobre divulgación de vulnerabilidades, compras de tecnología y requisitos para contrapartes que manejan información sensible.

  • Evaluar la cadena de suministro: como muestra la disputa de Anthropic con el Pentágono, los riesgos relacionados con proveedores pueden traducirse en restricciones contractuales. Las empresas latinoamericanas que dependen de servicios extranjeros deben mapear esas dependencias.

Conclusión

Mythos abre una nueva etapa en la intersección entre IA y ciberseguridad: por un lado, ofrece la posibilidad de identificar y corregir fallas con una rapidez antes impensable; por el otro, plantea riesgos reales si esas capacidades caen en manos maliciosas. La respuesta de Anthropic —retener el modelo y crear una alianza para parches— es una prueba de la complejidad que trae la próxima generación de herramientas de IA.

Para la región, el episodio funciona como una llamada de alerta: la modernización digital debe ir acompañada de estrategias de seguridad, gobernanza y cooperación internacional que permitan aprovechar beneficios sin aumentar la exposición al riesgo.

Fuente original: El Pais IA