La ciberseguridad ha entrado en una nueva era. Anthropic, la empresa creadora de Claude, ha revelado los resultados de su ambicioso proyecto Project Glasswing, que ha logrado detectar más de 10.000 vulnerabilidades en software de código abierto utilizando su modelo de inteligencia artificial Claude Mythos Preview. Este hito no solo demuestra el poder de la IA para encontrar fallos de seguridad, sino que también plantea un desafío crítico para las empresas: el cuello de botella ya no está en la detección, sino en la capacidad de parchear y adaptarse a una velocidad sin precedentes.

¿Qué es Project Glasswing?

Anthropic lanzó Project Glasswing en abril de 2024 como una iniciativa de ciberseguridad basada en Claude Mythos Preview, un modelo de frontera con capacidades avanzadas de programación. Según la compañía, el proyecto surgió al constatar que los modelos de IA habían alcanzado un nivel en el que podían superar a la mayoría de los humanos expertos en detectar y explotar vulnerabilidades de software. Para impulsar la iniciativa, Anthropic invirtió más de 100 millones de dólares en créditos de uso y 4 millones adicionales en donaciones a organizaciones de seguridad de código abierto.

En los últimos meses, Mythos Preview analizó más de 1.000 proyectos de código abierto que sustentan gran parte de Internet y la propia infraestructura de Anthropic. El resultado: 6.202 vulnerabilidades de alta o crítica gravedad identificadas, de las cuales 1.752 fueron evaluadas por seis firmas independientes de investigación en seguridad. De estas, el 90,6% (1.587) resultaron ser verdaderos positivos, y el 62,4% (1.094) fueron confirmadas como de alta o crítica gravedad. Proyectando estas cifras, Anthropic estima que el sistema habrá identificado cerca de 3.900 vulnerabilidades críticas en código abierto, además de las detectadas en los socios del proyecto.

El impacto en los mantenedores de código abierto

Los mantenedores de proyectos de código abierto se enfrentan ahora a una avalancha de informes de errores generados por IA, muchos de baja calidad. Varios han pedido a Anthropic que reduzca el ritmo de divulgación para tener tiempo de diseñar parches. Hasta ahora, la compañía ha notificado 530 fallos de alta o crítica gravedad a los mantenedores, de los cuales 75 ya han sido corregidos y se han publicado 65 avisos de seguridad. El número relativamente bajo de parches se debe al periodo de 90 días de divulgación coordinada, a que algunos fallos se corrigen sin notificación pública y a la sobrecarga del ecosistema de seguridad.

“La relativa facilidad de encontrar vulnerabilidades frente a la dificultad de corregirlas constituye un importante reto para la ciberseguridad”, señalan los autores del informe.

Consecuencias para las empresas: el nuevo cuello de botella

Mark Tauschek, analista de Info-Tech Research Group, considera que la decisión de Anthropic de limitar el acceso a Claude Mythos Preview es una señal clara de que la IA de frontera ha superado un umbral relevante en ciberseguridad. “Los responsables de TI y seguridad deben afrontar que el coste de descubrir vulnerabilidades ha caído drásticamente. Si un solo modelo de IA puede descubrir miles de fallos graves en semanas, la ventana entre descubrimiento y explotación se reduce”, advierte. Las organizaciones que gestionan parches con cadencia trimestral “operan con un nivel de riesgo significativamente mayor”.

Kellman Meghu, CTO de DeepCove Cybersecurity, coincide: “Encontrar fallos es ahora barato, pero corregirlos sigue siendo lento y dependiente de la intervención humana”. Su empresa ha tenido que acelerar procesos de parcheo y evaluación de controles, incorporando IA para identificar vulnerabilidades y aplicar medidas compensatorias. “El cuello de botella ha pasado de la detección a la capacidad de absorber parches y adaptar las defensas lo suficientemente rápido”.

Este cambio de paradigma obliga a replantear las estrategias de defensa en profundidad. Como se menciona en nuestro artículo sobre neutralidad de vendor en OpenTelemetry, la visibilidad y el control sobre la infraestructura son clave para responder ágilmente a nuevas amenazas.

¿Cuánto cuesta realmente encontrar vulnerabilidades con IA?

David Shipley, CEO de Beauceron Security, advierte que el titular de 10.000 vulnerabilidades puede ser engañoso. Al analizar las cifras, solo unas 1.500 vulnerabilidades han sido verificadas por humanos, lo que supone una reducción considerable. Además, plantea una cuestión clave: el coste de identificar cada vulnerabilidad. “¿Cuántos tokens se consumen? He oído cifras en torno a 500 dólares por minuto. Si pueden decirnos cuántas han encontrado, también deberían poder indicar cuánto cómputo ha sido necesario”.

Shipley concluye que la única solución de fondo pasa por “hacer responsables a los desarrolladores del software que crean”. Esta reflexión conecta con las lecciones de Linus Torvalds sobre el mito del código escrito por IA, donde se destaca la importancia de la calidad y la responsabilidad humana en el desarrollo.

La respuesta de Anthropic: Claude Security y Cyber Verification Program

Ante el avance de Glasswing, Anthropic ha lanzado Claude Security en versión beta para clientes empresariales y el Cyber Verification Program, que permite a profesionales de seguridad legítimos usar sus modelos sin restricciones habituales. Estas herramientas buscan equilibrar la capacidad ofensiva de la IA con su uso defensivo, pero como señala Tauschek, “ser transparente sobre el problema no es lo mismo que resolverlo”.

La presión operativa derivada de esta nueva cadencia de parcheo es inmediata. En nuestro caso de éxito en transformación digital, vimos cómo la automatización y la integración de procesos son esenciales para mantener la agilidad. Ahora, la ciberseguridad exige ese mismo nivel de adaptación.

¿Cómo prepararse para el nuevo ritmo de parcheo?

Las empresas deben adoptar un enfoque proactivo: acelerar los ciclos de parcheo, automatizar la validación de vulnerabilidades y fortalecer la colaboración con la comunidad de código abierto. Herramientas como el control de horas y fichador pueden ayudar a medir el tiempo dedicado a estas tareas críticas. Además, la gobernanza de la IA, como se discute en nuestro artículo sobre agentes IA, debe evolucionar para gestionar estos riesgos.

En definitiva, Project Glasswing ha demostrado que la IA puede encontrar vulnerabilidades a una velocidad y escala sin precedentes. Pero el verdadero desafío no es técnico, sino organizativo: ¿está tu empresa preparada para parchear al mismo ritmo que la IA descubre fallos?

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.