Anthropic ha decidido no lanzar al público su último modelo de inteligencia artificial, Claude Mythos Preview, después de constatar que era capaz de encontrar y explotar vulnerabilidades que habían permanecido ocultas en sistemas de software críticos durante décadas. En su lugar, la compañía ha puesto a disposición de más de 50 gigantes tecnológicos, entre ellos Amazon, Apple, Microsoft, Google y JPMorgan Chase, el modelo Mythos junto con 100 millones de dólares en créditos, bajo la iniciativa defensiva de ciberseguridad denominada Proyecto Glasswing.
Los hallazgos de Mythos demuestran que los modelos de IA ya pueden descubrir fallas de seguridad en software de uso masivo, como OpenBSD (una vulnerabilidad de 27 años) y FFmpeg (una de 16 años), vulnerabilidades que herramientas automatizadas tradicionales habían pasado por alto millones de veces. Además, el modelo logró convertir fallos ya conocidos en armas casi de forma constante, evidenciando la capacidad de los agentes maliciosos para replicar este proceso.
Esta capacidad se vuelve crítica cuando se combina con el fenómeno del "vibe coding", que permite a cualquier persona –desde dueños de pequeñas tiendas hasta médicos– generar software funcional a partir de descripciones en lenguaje natural. Si bien democratiza la creación de aplicaciones, también genera código sin revisiones de seguridad, abriendo la puerta a accesos no autorizados, robo de datos y sabotaje de servicios esenciales.
Durante décadas, la seguridad de Internet se sustentó en dos escaseces: la dificultad de escribir software y la complejidad de encontrar errores. Esa "distensión" se ha roto; ahora, la IA permite que cualquiera produzca código y que los atacantes descubran vulnerabilidades con la misma facilidad. La mayor parte de la infraestructura de la red se basa en proyectos de código abierto, como FFmpeg y OpenBSD, mantenidos por voluntarios con recursos limitados, lo que los hace particularmente vulnerables frente a herramientas tan potentes como Mythos.
El impacto potencial es amplio: desde la interrupción de plataformas de streaming y servicios bancarios en línea, hasta la paralización de hospitales mediante ransomware y la exposición de redes gubernamentales a espionaje extranjero. La IA no solo está descubriendo fallas técnicas, sino también desmantelando el contrato social informal que ha mantenido unido a Internet.
Ante este panorama, expertos advierten que la proliferación de modelos de IA capaces de generar y atacar código exigirá una revisión profunda de los procesos de desarrollo, auditoría y defensa cibernética, así como una mayor inversión en la seguridad de los proyectos de código abierto que sustentan la red.