Por Oscar Rodríguez, Arquitecto de Soluciones de Veracode para LATAM

En las últimas semanas, Anthropic, el fabricante de soluciones basadas en Inteligencia

Artificial o IA, ha anunciado la disponibilidad limitada de su más reciente LLM (Large

Language Model, por sus siglas en inglés) llamado Claude Mythos, el cual promete ser un salto en la frontera de lo que hoy se conoce como modelos de IA.

En términos generales, Claude Mythos es un modelo diseñado para razonamiento profundo, lo que permite sea un modelo para propósito general que pudiese ser usado en cualquier campo de conocimiento; Mythos no sólo responde texto, sino que internamente combina su capacidad de lenguaje con pasos prácticos y luego refina sus respuestas con los resultados, generando un “autocuestionamiento” continuo hasta obtener la mejor respuesta posible. Además, Mythos puede seguir hilos largos de comunicación y mantener coherencia en tareas complejas (por ejemplo, resolver problemas matemáticos o depurar sistemas grandes), lo que reduce errores que antes requerían mucha supervisión humana.

Claude Mythos tiene un alto potencial; sin embargo, pese al gran avance tecnológico que Anthropic estaría entregando con este desarrollo y como ha sucedido históricamente con otros desarrollos innovadores en su momento, si cae en la manos equivocadas los efectos negativos que se podrían generar serían devastadores: si bien, Claude Mythos no fue desarrollado específicamente para seguridad, durante la fase de pruebas Anthropic descubrió que la herramienta posee capacidades de ciberseguridad sorprendentes que superan con creces cualquier modelo anterior.

En sus propias palabras, con Mythos, los modelos de IA han alcanzado un nivel en el que pueden superar a todos, salvo a los humanos más expertos, en la detección y explotación de vulnerabilidades de software. Y es allí donde radica el potencial que tendría esta herramienta para generar efectos negativos de gran escala, siendo usado de forma inadecuada, por los actores equivocados.

Durante las pruebas previas al lanzamiento, Mythos identificó miles de vulnerabilidades de día cero —hasta entonces desconocidas— en todos los principales sistemas operativos y navegadores web. Halló fallos que habían sobrevivido a décadas de revisiones de seguridad humanas y a millones de pruebas automatizadas. Logró reproducir vulnerabilidades y desarrollar exploits funcionales al primer intento en más del 83 % de los casos.

En un caso documentado, descubrió una vulnerabilidad de 27 años de antigüedad en OpenBSD, un sistema operativo célebre por su robustecimiento de la seguridad. El modelo además identificó de forma autónoma y encadenó varias vulnerabilidades en el núcleo del Sistema operativo Linux —el software que ejecuta la mayoría de los servidores del mundo—, lo que permitiría a un atacante escalar desde un acceso de usuario ordinario hasta obtener el control total de la máquina. Y esto fue sólo el resultado de pruebas preliminares realizadas por el fabricante.

A diferencia de modelos anteriores que daban pistas, Mythos puede generar hipótesis de

fallo, diseñar pruebas de seguridad y ejecutar esas pruebas en entornos virtuales aislados y proponer exploits reproducibles —un ciclo que antes requería varios especialistas humanos: las repercusiones para las economías, la seguridad pública y la seguridad nacional de los países, podrían ser graves.

Esa autonomía que tiene el modelo, es la razón principal por la que su despliegue está

restringido, al menos por ahora. Por tal razón, y con un sentido de responsabilidad,

Anthropic anunció el proyecto Glasswing, una iniciativa que reune a compañías como

Amazon Web Services, Anthropic, Apple, Cisco, Microsoft, entre otras, en un esfuerzo para asegurar el software más crítico del mundo. Como parte del Proyecto, estas organizaciones utilizarían Mythos dentro de sus labores de seguridad defensiva. Y los resultados ya comienzan a mostrarse: por ejemplo, Mozilla, el fabricante del navegador web Firefox, logró detectar y remediar 271 vulnerabilidades antes de la salida en vivo de la versión 150 del navegador; la experiencia de Mozilla muestra que Mythos podría tener un profundo impacto para los cazadores de vulnerabilidades.

La respuesta de la comunidad internacional, y en particular de los gobiernos, ya comienza a conocerse. Por ejemplo, La Casa Blanca ha reconocido explícitamente el riesgo de que Mythos pueda detectar y explotar vulnerabilidades demasiado rápido, y por eso está diseñando salvaguardas antes de permitir su uso en agencias federales; El Departamento de Defensa mantiene una designación de “riesgo en la cadena de suministro” sobre Anthropic, lo que ha limitado su uso dentro del sector defensa. Aun así, reportes indican que la NSA (National Security Administration, por sus siglas en inglés) ya ha utilizado Mythos en contextos defensivos, lo que muestra tanto el interés como la preocupación por su poder. 

Por su parte, y durante reuniones financieras globales, representantes del gobierno

canadiense describieron a Mythos como un riesgo “desconocido y potencialmente

sistémico” para la estabilidad económica si se usa de manera indebida, refiriéndose a la

posibilidad de que un modelo así identifique vulnerabilidades en sistemas financieros

Interconectados.

Claude Mythos marca un antes y un después en la evolución de los modelos de lenguaje

para la IA. Su capacidad para combinar razonamiento profundo, análisis de código,

ejecución en entornos aislados y generación de exploits funcionales lo posicionan como

una herramienta sin precedentes. Lo que lo hace verdaderamente disruptivo no es solo su potencia, sino su autonomía: Mythos puede plantear hipótesis, probarlas y corregirse a sí mismo, un comportamiento que lo acerca más a un sistema experto que a un asistente conversacional tradicional. Esta herramienta nos recuerda que la innovación tecnológica no puede avanzar aislada de la ética. El verdadero desafío no es solo desarrollar modelos más potentes, sino garantizar que su poder se utilice para proteger, no para dañar.

El futuro de la IA dependerá de nuestra capacidad para integrar modelos como Mythos en procesos seguros, auditables y transparentes. La innovación no debe detenerse, pero

tampoco puede avanzar sin salvaguardas. Mythos es una muestra del potencial

transformador de la IA moderna, y también un recordatorio de que el progreso tecnológico debe ir acompañado de una gobernanza sólida y una visión ética clara.