Bloomberg · Andrew Martin

Anthropic ha dit que el seu darrer model de IA, Mythos, és massa potent per a posar-lo a disposició del públic general. L’empresa diu que el model és tan eficaç a l’hora de detectar vulnerabilitats en programari i sistemes informàtics que tan sols en farà públics uns pocs elements, triats curosament. En mans equivocades, segons Anthropic, un model com Mythos podria facilitar ciberatacs contra bancs de dades i infrastructures crítiques.

Aquests darrers anys, les empreses de ciberseguretat han promès repetidament que la IA acceleraria i automatitzaria part de la feina dels experts de seguretat. L’altra cara de la moneda, tanmateix, és que la IA promet de facilitar la vida a hackers i pirates informàtics i els ciberespies també se n’aprofiten. L’arribada de Mythos i models semblants, capaços d’explotar errors ocults en programari sense supervisió humana, sembla marcar una nova fase –més dinàmica i menys previsible– de la cursa cibernètica.

Què és Mythos?

Segons Anthropic, Claude Mythos Preview és significativament més potent que els models anteriors quant a les tasques de raonament o l’escriptura de codi informàtic. L’empresa també diu que el model és més eficient que la gran majoria d’humans, tret dels més experts, a l’hora de trobar i d’explotar vulnerabilitats de programari.

D’acord amb Anthropic, Mythos Preview ja ha detectat milers de vulnerabilitats de “dia zero” en el programari que ha analitzat, incloent-hi els principals sistemes operatius i navegadors web. Les vulnerabilitats de “dia zero” són errors de programari de què ni tan sols els desenvolupadors són conscients: el nom implica que no disposen ni d’un dia (zero) per a posar-hi remei.

Segons Anthropic, Mythos ha estat capaç de detectar aquestes vulnerabilitats amb encara menys ajut humà que no pas models anteriors. “Mythos Preview representa un pas de gegant en aquest aspecte: les vulnerabilitats que ha detectat [en el programari que ha analitzat] han sobreviscut, en alguns casos, a dècades de revisió humana i a milions de proves automatitzades”, assegura l’empresa. En mans de grups o governs hostils, una eina d’aquesta mena es podria traduir en ciberatacs més freqüents i potents.

Anthropic no ha permès a investigadors externs d’accedir al model per a contrastar les afirmacions de l’empresa sobre el rendiment i les capacitats que té. Gang Wang, professor associat d’informàtica a la Universitat d’Illinois, explica que, sense més proves pràctiques, costa d’avaluar la transcendència de Mythos Preview.

Qui hi podrà accedir?

Anthropic permetrà a un grup reduït d’empreses d’accedir al model, incloent-hi Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike Holdings, Broadcom, Cisco, JPMorganChase i la Linux Foundation –una organització no lucrativa que promou projectes de programari de codi obert– per a “emprar les capacitats [de Mythos] amb finalitats defensives”.

L’objectiu, dit d’una altra manera, és que aquestes organitzacions aprofitin Mythos per a reforçar els seus sistemes i protocols de ciberseguretat. Moltes empreses ja fan “exercicis de penetració”, que consisteixen a contractar especialistes perquè n’examinin els sistemes en cerca de vulnerabilitats, abans que els ciberdelinqüents no les detectin. Mythos podria ajudar a accelerar aquest procés, tot permetent a les empreses de detectar més vulnerabilitats per a protegir-se de possibles atacs.

Per què considera Anthropic que el llançament de Mythos és un punt d’inflexió?

Anthropic ha descrit Mythos Preview com “un punt d’inflexió en termes de ciberseguretat”. Per definició, les vulnerabilitats de “dia zero” són difícils de detectar, cosa que ha propiciat la consolidació d’una indústria petita i opaca d’experts que s’especialitzen a detectar aquests errors i, una volta els troben, els revelen a governs en canvi de pagaments, que sovint poden arribar a milions de dòlars. Segons Anthropic, les vulnerabilitats que Mythos Preview ha trobat al programari que ha analitzat sovint eren “subtils i difícils de detectar”, incloent-hi un forat de seguretat d’OpenBSD –un sistema operatiu que, segons Anthropic, té fama de ser un dels més segurs del món– que ningú no havia detectat en vint-i-set anys.

Segons que sembla, Mythos també és capaç de convertir vulnerabilitats conegudes, però sovint no arreglades, en escletxes que els hackers podrien aprofitar per a infiltrar-se en xarxes informàtiques. El model, per exemple, ha detectat uns quants errors al nucli de Linux –el cor del sistema operatiu i el programari que fan servir la majoria dels servidors d’internet del món– que permetria a un hacker o a un ciberdelinqüent de prendre el control del sistema sencer. Segons Anthropic, fins i tot persones sense coneixements especialitzats han aconseguit de fer servir Mythos Preview per a detectar i explotar vulnerabilitats de sistemes informàtics remots.

Mythos és un dels diversos models de IA capaços de detectar vulnerabilitats de “dia zero” o trobar escletxes. Codex Security, d’OpenAI, i l’agent Big Sleep, de Google, també s’han creat amb l’objectiu específic d’ajudar a detectar vulnerabilitats de programari. OpenAI també treballa en un model de ciberseguretat que tan sols compartirà amb un grup reduït de socis comercials, segons que ha avançat Axios.

Mythos amenaça la ciberseguretat?

Fins ara, Anthropic s’ha dedicat a comunicar individualment els forats de seguretat detectats per Mythos als responsables de mantenir el programari o els sistemes informàtics afectats. Aquest procés, tanmateix, és llarg i enrevessat: de moment, Anthropic calcula que menys d’un 1% de les vulnerabilitats detectades per Mythos s’ha corregit del tot.

Les millores dels models de IA, en paral·lel, han millorat dràsticament l’eficiència i la rapidesa dels pirates informàtics a l’hora de detectar i explotar vulnerabilitats. Això significa que, una volta es detecten, els experts en ciberseguretat tenen com més va menys temps per a solucionar els errors de seguretat. El director executiu de Palo Alto Networks, Nikesh Arora, ha avisat que el cost i la dificultat tècnica d’un ciberatac sofisticat continuarien desplomant-se aquests pròxims sis mesos. “Un sol pirata podrà dur a terme atacs que abans haurien requerit equips sencers”, va escriure fa poc.

Anthropic sosté que Mythos Preview i més eines de IA semblants acabaran reforçant –no pas perjudicant– la ciberseguretat. “A llarg termini, confiem que la ciberseguretat s’imposarà: tindrem un món més segur, amb un programari més protegit, en gran part gràcies al codi escrit per aquests models”, ha dit l’empresa aquest mes. “Però el període de transició serà complicat.”

• Subscribe to The Washington Post
• Podeu llegir més reportatges del Washington Post publicats en català a VilaWeb