¿Qué ocurre con Mythos? Anthropic promete vencer los jailbreaks, pero oculta la mayor debilidad de su producto
El investigador de seguridad Marcus Hutchins descubrió en los informes de la empresa datos sumamente comprometedores.
Las declaraciones ruidosas sobre avances en ciberseguridad suenan cada vez con más frecuencia en el contexto del auge de la inteligencia artificial, pero no todos los especialistas están dispuestos a aceptar esas valoraciones sin más. Ha surgido una nueva polémica en torno al último desarrollo de Anthropic, que la empresa presentó como un paso serio adelante en la búsqueda de vulnerabilidades.
El analista británico de malware Marcus Hutchins, conocido por detener la epidemia de WannaCry, dudó públicamente en las declaraciones de Anthropic sobre las capacidades del modelo Mythos. El motivo fue una presentación en la que la empresa afirma que el sistema es capaz de encontrar y explotar vulnerabilidades mejor que la mayoría de las personas.
El desarrollador también afirmó que el modelo ya ha detectado miles de problemas previamente desconocidos en sistemas operativos, navegadores y software popular. El acceso a Mythos está todavía limitado — lo están probando grandes empresas tecnológicas y organizaciones de ciberseguridad en el marco del proyecto Glasswing.
Hutchins analizó uno de los ejemplos presentados — vulnerabilidad en OpenBSD — que el sistema supuestamente encontró por menos de 20.000 dólares en costes computacionales. Según su valoración, se trata de la desreferenciación de un puntero nulo, un tipo de error que normalmente provoca un fallo y no la toma de control del sistema. Según el especialista, ese hallazgo no parece un logro significativo.
También surgieron dudas sobre el coste declarado. Hutchins sugirió que la cifra refleja el precio de los tokens de la API, no los gastos reales en infraestructura. En un contexto de fuerte financiación por parte de fondos de capital riesgo, el coste de la computación puede estar artificialmente reducido. Recalculado en costes reales, la suma podría resultar considerablemente mayor.
El especialista considera que el problema clave no está en las tecnologías, sino en la economía. Las vulnerabilidades permanecen sin corregir no por falta de herramientas, sino por la ausencia de motivación y remuneración por su búsqueda. Incluso con el uso de la IA, la auditoría del código requiere inversiones, y sin un cambio en el modelo de financiación la situación no cambiará.
Hutchins también señaló que los atacantes utilizan con más frecuencia la ingeniería social y el phishing que ataques técnicos complejos. Por esta razón, las nuevas herramientas de búsqueda de vulnerabilidades no cambian de forma fundamental el equilibrio de fuerzas en la ciberseguridad.
Anteriormente, el analista ya había criticado las declaraciones grandilocuentes sobre el papel de la IA en la industria. En otoño refutó un estudio del MIT que afirmaba que el 80 por ciento de los ataques con ransomware estaban relacionados con la inteligencia artificial. Posteriormente ese material fue retirado del sitio web de la universidad.