Claude Mythos: el modelo de IA que expone vulnerabilidades en redes corporativas alarma a reguladores del Reino Unido y EE.UU.
Los reguladores financieros británicos han convocado una reunión de emergencia sobre el modelo Claude Mythos de Anthropic. Participantes —incluidos el Banco de Inglaterra, la FCA, el Tesoro y el NCSC— discutirán los riesgos del modelo al cazar vulnerabilidades de forma independiente en sistemas TI críticos. El modelo ejecutó una simulación completa de una red corporativa en el cyber-range de AISI, lo que le valió el título de modelo cibernético más capaz según las autoridades.
Pruebas en el Instituto de Seguridad de IA
El ministro de IA del Reino Unido, Kanishka Narayan, confirmó: Mythos es el primer modelo en dominar completamente la navegación a través de una red corporativa simulada. En AISI, establecido para la evaluación independiente de IA, descubrió vulnerabilidades sin ninguna intervención del operador. Los reguladores ya han respondido a los hallazgos, aunque los detalles no se han divulgado.
Las pruebas incluyeron:
- Escaneo autónomo de segmentos de red.
- Identificación de vulnerabilidades zero-day en la infraestructura TI.
- Simulación de escenarios de ataque y defensa del mundo real.
Esto distingue a Mythos de sus predecesores, que necesitaban indicaciones para navegar.
Reacción de EE.UU.: Medidas Similares
EE.UU. actuó primero: la semana pasada, el secretario del Tesoro Scott Bessent y el presidente de la Fed Jerome Powell reunieron a banqueros de Citigroup, Goldman Sachs y Morgan Stanley. La tarea —probar Mythos en sus propios sistemas antes de que caiga en manos maliciosas—. Anthropic ha pospuesto el lanzamiento público, limitando el acceso a través del programa Project Glasswing para aplicaciones de ciberseguridad defensiva.
El modelo ya ha descubierto miles de vulnerabilidades graves en:
- Sistemas operativos.
- Navegadores.
- Software común.
Opiniones de Expertos y Escepticismo
No todos comparten la alarma. El investigador de IA Gary Marcus cuestionó las afirmaciones de Anthropic, sugiriendo que se trata de bombo publicitario. El diputado Danny Kruger pidió una estrecha colaboración con los desarrolladores en lugar de depender únicamente de agencias de cumplimiento.
Mythos está evolucionando de una herramienta empresarial a un foco de coordinación del G7. Dos reuniones en una semana subrayan el cambio: la IA en ciberseguridad exige regulación internacional.
Puntos Clave
- Mythos navega de forma independiente por redes corporativas en el cyber-range, superando a modelos anteriores.
- Reguladores del Reino Unido y EE.UU. lo están probando en infraestructura crítica para minimizar riesgos.
- Anthropic ha restringido el acceso, centrándose en usos defensivos.
- El modelo ha descubierto miles de vulnerabilidades en SO, navegadores y software.
- Las discusiones están allanando el camino para nuevas normas sobre el lanzamiento de IA cibernética potente.
Perspectivas Regulatorias
Estos eventos señalan un movimiento hacia controles más estrictos. El Cross Market Operational Resilience Group, que incluye bancos, aseguradoras y bolsas, evaluará riesgos bajo el liderazgo de Duncan MacKinnon. Para los desarrolladores, esto significa equilibrar innovación y seguridad: un lanzamiento público de Mythos solo será factible tras verificación.
Para desarrolladores de nivel medio y senior, destacan aspectos técnicos clave. Mythos muestra capacidades avanzadas en red teaming autónomo —simulación de ataques sin intervención humana—. Esto implica razonamiento en cadena de pensamiento para analizar protocolos de red, interpretar registros y generar exploits basados en debilidades detectadas.
— Editorial Team
Aún no hay comentarios.