– Europa Press/Contacto/Algi Febri Sugita
MADRID, 25 de mayo. (CIBERPRO) –
Anthropic ha revelado que ha identificado más de 10.000 vulnerabilidades críticas mediante su modelo de inteligencia artificial (IA) para ciberseguridad, Claude Mythos Preview, el cual ya está apoyando a empresas como Cloudflare, Mozilla y Microsoft, y comenzará a ofrecer algunas de sus herramientas de seguridad a clientes que cumplan con sus criterios.
La compañía presentó Claude Mythos a principios de abril dentro de su iniciativa de ciberseguridad Proyecto Glasswing, que reúne a gigantes tecnológicos como Amazon Web Services, Apple, Google, Microsoft y Nvidia, para proteger «el software más crítico del mundo», con el fin de detectar vulnerabilidades de alta gravedad en los principales sistemas operativos y navegadores web.
Desde su lanzamiento, Anthropic y sus aliados han estado utilizando el modelo Claude Mythos Preview para identificar vulnerabilidades de alta o crítica gravedad en diversos softwares. Como resultado, la empresa ha afirmado haber descubierto más de 10.000 vulnerabilidades en diferentes servicios.
Esto se detalla en un comunicado en su blog, donde aclara que, tras un mes de implementación de este modelo, la mayoría de los socios han detectado cientos de vulnerabilidades críticas y, algunos, han observado que su tasa de detección se ha multiplicado por más de diez.
En el caso de Cloudflare, ha informado que ha encontrado 2.000 errores en sus sistemas críticos utilizando Claude Mythos, con 400 de ellos catalogados como de alta o crítica gravedad, presentando una tasa de falsos positivos que la compañía considera «superior a la de los evaluadores humanos».
Asimismo, Mozilla ha indicado que ha descubierto y corregido 271 vulnerabilidades en Firefox 150 durante sus pruebas con Mythos Preview, lo que representa diez veces más fallos que los encontrados en Firefox 148 con Claude Opus 4.6.
Otro ejemplo de las capacidades de este modelo lo ha proporcionado el Instituto de Seguridad de IA del Reino Unido, que ha señalado que Mythos Preview es «el primer modelo capaz de resolver de principio a fin sus dos escenarios cibernéticos«, basados en situaciones de ciberataques en múltiples etapas.
Mythos Preview también ha brillado en otras tareas de ciberseguridad. Según la compañía, pudo detectar y prevenir una transferencia bancaria fraudulenta de 1,5 millones de dólares en uno de los bancos asociados al proyecto Glasswing, después de que un ciberdelincuente comprometiera el correo electrónico de un cliente y realizara llamadas fraudulentas.
MEJORANDO LA CORRECCIÓN DE VULNERABILIDADES
La capacidad de identificar más vulnerabilidades de manera rápida y precisa permite a las empresas que gestionan dicho ‘software’ verificarlas, divulgarlas y corregirlas más ágilmente. Esto facilita que los usuarios finales actualicen su ‘software’ antes de que los atacantes puedan explotar una vulnerabilidad.
Un ejemplo de esto se observa en compañías como Microsoft, que ha detallado recientemente en su actualización de seguridad de mayo que sus próximas actualizaciones «seguirán aumentando de tamaño por un tiempo», debido a que las herramientas de automatización han «madurado» y «utilizan cada vez más IA para examinar ‘software’ con mayor detenimiento y frecuencia». Anthropic ha atribuido estos avances a Mythos Preview. De igual manera, Oracle también ha afirmado que está detectando y corrigiendo vulnerabilidades en sus productos y en la nube a una velocidad «mucho mayor que antes».
MYTHOS PREVIEW PARA ANALIZAR PROYECTOS DE CÓDIGO ABIERTO
Por otro lado, Anthropic ha compartido que ha utilizado el modelo de IA para analizar 1.000 proyectos de código abierto en los últimos meses. En este contexto, Mythos Preview ha encontrado un total de 23.019 vulnerabilidades, de las cuales 6.202 eran de gravedad alta y crítica.
En concreto, de las vulnerabilidades críticas halladas, 1.752 han sido evaluadas «minuciosamente» y se ha indicado que el 90,6 por ciento (1.587) resultaron ser verdaderos positivos y el 62,4 por ciento se confirmaron como de alta gravedad.
La compañía ha presentado ejemplos de estas vulnerabilidades en servicios de código abierto, como la biblioteca de criptografía wolfSSL, donde Mythos Preview logró crear un exploit que permitía falsificar certificados para alojar un sitio web falso de un banco o proveedor de correo electrónico.
Para mostrar todos estos hallazgos, Anthropic ha creado un panel de control con todas las vulnerabilidades de código abierto que ha analizado, donde muestra los pasos de divulgación y permite hacer un seguimiento de su progreso.
Hasta el momento, la empresa ha informado a los responsables del mantenimiento de estos proyectos de código abierto sobre 530 errores de gravedad alta o crítica. De ellos, 75 ya han sido corregidos, y 65 de ellos han recibido avisos públicos.
No obstante, Anthropic ha señalado una brecha entre la «relativa facilidad para encontrar vulnerabilidades«, en comparación con la dificultad que enfrentan los proveedores de servicios para corregirlas, puesto que, en promedio, un error de alta o crítica gravedad detectado por Mythos Preview tarda dos semanas en ser corregido. «Superar este desafío con éxito hará que nuestro software sea mucho más seguro», ha afirmado.
ADOPCIÓN DE CLAUDE MYTHOS EN EL FUTURO
Con todo esto, Anthropic ha anunciado que pronto estarán disponibles de forma más amplia modelos con capacidades de ciberseguridad similares a las de Mythos Preview.
Asimismo, ha lanzado Claude Security en versión beta pública para los usuarios suscritos a Claude Enterprise, una herramienta que ayuda a analizar las bases de código de las empresas en busca de vulnerabilidades y, además, generar propuestas de solución.
Además, también ha indicado que está poniendo algunas herramientas de Mythos Preview a disposición de los equipos de seguridad de clientes que cumplan los requisitos necesarios, mediante solicitud previa. Esto incluye habilidades, un sistema para mapear código fuente y un generador de modelos de amenazas.
Finalmente, la tecnológica ha reiterado que Mythos Preview aún no está disponible para el público general porque ninguna empresa, incluida Anthropic, ha desarrollado medidas de seguridad «lo suficientemente robustas como para evitar el mal uso de dichos modelos y los serios daños que podrían ocasionar».
«En un futuro cercano, una vez que hayamos desarrollado las medidas de seguridad mucho más sólidas que necesitamos, esperamos lanzar al público los modelos de la clase Mythos», ha concluido Anthropic.
