Las avanzadas herramientas de inteligencia artificial de Anthropic para encontrar vulnerabilidades de software han atraído una importante atención de los medios. En marzo, los investigadores de Mozilla informaron que Claude Opus 4.6 de Anthropic identificó 14 errores de alta gravedad y 22 CVE en dos semanas, superando el desempeño de los investigadores humanos de Mozilla.
Utilizando una versión de prueba del modelo Mythos de Anthropic, investigadores de seguridad de California, una empresa de ciberseguridad con sede en Palo Alto, afirmaron haber eludido las medidas de seguridad de macOS de Apple. Afirmaron que un «exploit de escalada de privilegios», combinado con otro vector de ataque, podría permitir a actores maliciosos obtener el control de un dispositivo objetivo.
Los investigadores explicaron que desarrollaron un software que vinculaba dos errores separados y emplearon varias técnicas para «corromper la memoria de la Mac» para acceder a componentes restringidos. El descubrimiento del exploit tardó cinco días y requirió el esfuerzo colaborativo de los piratas informáticos humanos y el modelo Mythos.
Apple está revisando actualmente el informe de los investigadores para verificar sus hallazgos. «La seguridad es nuestra principal prioridad y nos tomamos muy en serio los informes sobre posibles vulnerabilidades», dijo un portavoz de Apple a The Wall Street Journal.
Anthropic lanzó Mythos, inicialmente conocido como Proyecto Glasswing, en abril con acceso limitado a unas 40 empresas tecnológicas seleccionadas. La compañía informó que Mythos ha identificado miles de vulnerabilidades de alta gravedad en varios sistemas operativos y navegadores web, advirtiendo sobre graves consecuencias si dichas capacidades caen en manos de personas malintencionadas.
Michał Zalewski, investigador de seguridad de Google, evaluó los hallazgos desde California, aunque sin participar directamente en la investigación. Señaló que si bien algunas exageraciones en torno a Mythos pueden ser «exageradas», aún ofrece potencial para una importante investigación de vulnerabilidades y auditoría de código.
En medio de las discusiones sobre las capacidades de Mythos, han surgido preocupaciones sobre los peligros potenciales del modelo si se hace público. Gary McGraw, ex ejecutivo de ciberseguridad de Synopsys, participó en la conversación y afirmó que la tecnología no es intrínsecamente demasiado peligrosa para publicarla. Hizo hincapié en la necesidad de abordar los desafíos reales de ciberseguridad en lugar de restringir el acceso a herramientas útiles.
