El proyecto Glasswing y su impacto en la ciberseguridad

En abril pasado, Anthropic lanzó Project Glasswing, una iniciativa de ciberseguridad basada en su modelo Claude Mythos Preview. Diseñado para que socios de lanzamiento lo integraran en operaciones defensivas, el proyecto ha revelado una capacidad sin precedentes: la IA puede detectar y explotar vulnerabilidades de software superando a casi cualquier experto humano. Con una inversión de más de 100 millones de dólares en créditos de uso y 4 millones en donaciones a proyectos de código abierto, Anthropic ha marcado un antes y un después en la detección de fallos.

Resultados impactantes: 6.202 vulnerabilidades de alta gravedad

Según la actualización de Anthropic, Mythos Preview analizó más de 1.000 proyectos de código abierto que sustentan gran parte de Internet. El resultado: 6.202 vulnerabilidades de alta o crítica gravedad, de las cuales 1.752 fueron evaluadas por seis firmas independientes de seguridad. De estas, el 90,6% (1.587) resultaron ser verdaderos positivos, y el 62,4% (1.094) confirmadas como de alta o crítica gravedad. Esto sugiere que, al ritmo actual, el sistema identificará cerca de 3.900 fallos críticos en código abierto, sumados a los detectados en socios de Glasswing.

Este hallazgo se alinea con lo discutido en nuestro artículo IA descubre miles de fallos críticos: ¿está tu empresa preparada para el nuevo ritmo de parcheo?, donde analizamos cómo la IA está transformando la ciberseguridad empresarial.

El desafío de los mantenedores de código abierto

Los mantenedores enfrentan una avalancha de informes de errores generados por IA de baja calidad, lo que ha llevado a algunos a pedir a Anthropic que reduzca el ritmo de divulgación. Hasta ahora, se han notificado 530 fallos de alta o crítica gravedad, con 75 corregidos y 65 avisos de seguridad publicados. Anthropic atribuye este bajo número al periodo de 90 días de su política de divulgación coordinada, a posibles correcciones sin notificación pública y a la saturación del ecosistema de seguridad.

El informe señala que “la relativa facilidad de encontrar vulnerabilidades frente a la dificultad de corregirlas constituye un importante reto para la ciberseguridad”. Este cuello de botella se ha desplazado de la detección a la capacidad de absorción de parches, como exploramos en Control de Horas y Fichador, donde destacamos la importancia de gestionar el tiempo en procesos críticos.

Lanzamiento de Claude Security y Cyber Verification Program

El avance de Glasswing ha llevado a Anthropic a lanzar Claude Security en beta para clientes empresariales y el Cyber Verification Program, que permite a profesionales legítimos usar sus modelos sin restricciones habituales. Mark Tauschek, analista de Info-Tech Research Group, considera que limitar el acceso a Mythos Preview es una señal clara de que la IA de frontera ha superado un umbral relevante. Sin embargo, advierte: “Ser transparente sobre el problema no es lo mismo que resolverlo”.

Las organizaciones que gestionan parches con cadencia trimestral “operan con un nivel de riesgo significativamente mayor que hace muy poco tiempo”, añade Tauschek. Esto resuena con lo tratado en Linus Torvalds estalla contra el mito del '99% del código escrito por IA', donde se cuestiona la automatización sin control humano.

Voces desde la industria: ¿dónde está el verdadero cuello de botella?

Kellman Meghu, CTO de DeepCove Cybersecurity, afirma que los resultados no le sorprenden: “La IA acelera la detección, pero corregir fallos sigue siendo lento y dependiente de la intervención humana”. Su empresa ha tenido que acelerar procesos de parcheo y usar modelos de lenguaje para identificar vulnerabilidades. “El cuello de botella ha pasado de la detección a la capacidad de absorber parches”, concluye.

David Shipley, CEO de Beauceron Security, advierte que el titular de 10.000 vulnerabilidades puede ser engañoso: “Solo 1.500 han sido verificadas por humanos, y el coste de identificación sigue siendo opaco”. Pregunta cuántos tokens se consumieron y cuánto cómputo fue necesario. Shipley aboga por hacer responsables a los desarrolladores del software que crean, un punto que también abordamos en Neutralidad de vendor no es magia.

Implicaciones para empresas y profesionales IT

La presión operativa es inmediata. Las empresas deben replantear sus estrategias de defensa en profundidad y endurecer los SLA de parcheo. Como señala Meghu, “no confiamos ciegamente en los modelos para operar de forma autónoma; hemos incorporado auditorías asistidas por IA en nuestro pipeline”. Esta transformación digital es clave, como se ilustra en Caso de éxito: Transformación digital en empresa logística.

Además, la soberanía del dato se vuelve crítica cuando se usan modelos de IA en la nube. En Soberanía del dato en la nube, analizamos alianzas como la de Google Cloud y Telefónica para proteger información crítica, un aspecto relevante ante la nueva cadencia de parcheo.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.