Wilson Vega
Editor SrFanático de la tecnología, el cine y la cultura pop. Periodista de profesión y geek por vocación, apasionado de la inteligencia artificial y la robótica en la ciencia ficción y en el mundo real. A veces, el éxito significa ser el primero en fracasar.
Lo dijimos hace algunas semanas: Anthropic creó una IA en extremo peligrosa. Tan peligrosa que, de hecho, la firma la escondió para que solo puedan usarla aquellos a quien ha autorizado. Se trata de Claude Mythos, un modelo avanzado con una capacidad sin precedentes para encontrar y explotar vulnerabilidades de software.
Ahora, una nueva investigación revelada por Axios indica que Mythos no solo es fenomenal a la hora de hallar vulnerabilidades de software sino que puede convertirlas en exploits funcionales en horas, en lugar de semanas.
Hasta ahora, la capacidad de la IA avanzada para hallar vulnerabilidades en toda clase de código ha ocupado los titulares. La propia Anthropic publicó el mes pasado los resultados de su colaboración con Mozilla, que llevó a la detección de 271 vulnerabilidades en el código de un programa que ya pasa de la versión 150. Bobby Holley, CTO de Firefox, relató la experiencia en el blog de la compañía.
Pero lo que sugiere la revelación de hoy es que modelos como Mythos pueden probar ser igualmente hábiles para explotar las vulnerabilidades que encuentran, lo que les da un potencial inquietante para su uso como armas, porque acortarían de forma dramática el espacio disponible para que una empresa produzca parches para las anomalías detectadas antes de que estas sean efectivamente explotadas.
El “equipo rojo” -un grupo de "hackers éticos" que simula ataques para poner a prueba las defensas de una empresa u organización- de Anthropic probó Mythos contra vulnerabilidades en Mozilla Firefox y el kernel de Microsoft. Luego le pidieron a la IA convertir parches públicos en exploits funcionales. Mythos generó su primer exploit de prueba de concepto para una vulnerabilidad del kernel de Windows en tan solo 31 minutos.
Dice Axios: “En 18 de los 21 bugs del kernel probados, Mythos pudo causar una "pantalla azul de la muerte". Mythos también creó 8 exploits distintos, siendo el exploit más largo que tardó unas 5,7 horas en crearse. En Firefox, Mythos también tuvo éxito: a lo largo de 18 parches de seguridad, Mythos desarrolló 8 exploits funcionales de ejecución de código”.
El aspecto más preocupante de todo esto probablemente sea el costo: Anthropic estima que la ola de exploits para Windows costó alrededor de 15,700 dólares en créditos API o, lo que es lo mismo, unos 2,000 dólares por exploit.
La Casa Blanca cambia de opinión
https://www.pexels.com/es-es/foto/la-casa-blanca-32203289/
Según reportes de medios especializados, la escalada de las capacidades ofensivas de la IA ha llevado a un cisma en la Casa Blanca, en el que altos oficiales han dado señales encontradas sobre si la administración Trump está dispuesta a seguir impulsando la innovación de la industria tecnológica en EEUU o si dará un giro hacia la regulación más estricta que promovían sus antecesores.
La reciente orden ejecutiva del presidente Donald Trump sobre inteligencia artificial fue recibida mayormente por observadores de la industria como un cambio en el enfoque de la administración respecto a la regulación tecnológica.
Matthew Ferren, experto del think tank Council on Foreign Relations, escribió: “La orden se entiende mejor como un intento de crear una ventana de oportunidad en ciberseguridad. Concede a los defensores acceso preferencial a las capacidades cibernéticas fronterizas mientras intenta retrasar el acceso de los adversarios mediante un periodo de evaluación previa al lanzamiento y un proceso clasificado gestionado por la Agencia de Seguridad Nacional para designar "modelos fronterizos cubiertos".
Entre otras medidas, la orden solicita que las empresas de IA proporcionen voluntariamente al gobierno federal acceso a modelos avanzados para una revisión de ciberseguridad hasta treinta días antes de su lanzamiento previsto a "otros socios de confianza". El objetivo es que los defensores encuentren y solucionen vulnerabilidades críticas más rápido de lo que los adversarios pueden explotarlas, pero eso probablemente resultará difícil en la práctica.
Eso es porque en los círculos del poder de Washington se escuchan voces que advierten que la sobrerregulación de la inteligencia artificial podría erosionar la ventaja de Estados Unidos sobre China en la carrera global por el dominio de la IA.
El ex "zar de la IA" de la Casa Blanca, David Sacks, le dijo a Fox Business: "Si intentas tener una FDA -la agencia del gobierno federal encargada de proteger la salud pública mediante la regulación y supervisión de productos de consumo diario- para la IA y hay gente que quiere llegar tan lejos, entonces creo que podríamos perder esta carrera de la IA frente a China. Solo estamos seis o nueve meses por delante de China. Así que, en realidad, cada mes cuenta".
Sea cual sea el curso de la administración, para los expertos queda claro que estamos ante un cambio de paradigma en materia de ciberseguridad: la industria fue diseñada bajo el supuesto de que explotar una vulnerabilidad tomaría semanas de trabajo por parte de equipos de programadores expertos y que eso le daría a las empresas el tiempo para reaccionar. La IA avanzada echó por el piso esa presunción.
Ver 0 comentarios