Modelos de ciberseguridad de nivel armamentístico de Anthropic Mythos accedidos sin autorización: ¿cómo lo lograron?

Bloomberg informó que, presuntamente, un grupo privado de un foro anunció públicamente el mismo día en que se rompieron las restricciones mediante el modelo de ciberseguridad de Anthropic, Mythos, de una filial. Al acceder al sistema usando credenciales de acceso obtenidas mediante un contratista externo, lograron usar el modelo, lo que provocó la preocupación del público sobre la gobernanza segura de los modelos de IA de máximo nivel.

(Anthropic lanzó el programa global de ciberseguridad Glasswing; ¿por qué el nuevo modelo Mythos no se abre al uso del público?)

Primer día de lanzamiento, Mythos sufre acceso no autorizado

El 7 de abril, Anthropic anunció un nuevo modelo de IA de seguridad web, Claude Mythos; sin embargo, un grupo privado de foro en línea, cuya identidad aún no se ha hecho pública, según se informa, ya había obtenido sigilosamente acceso al modelo.

Según se sabe, este grupo no consiguió entrar mediante métodos tradicionales de piratería, sino que aprovechó su dominio de los formatos de URL de los modelos anteriores de Anthropic, deduciendo razonablemente la ubicación en línea de Mythos dentro del sistema. La brecha clave estuvo en un empleado que trabajaba para un contratista externo de Anthropic. Él ya tenía una autorización legal para ver los modelos de IA de Anthropic, y los miembros del grupo se infiltraron en el sistema mediante esa vía de acceso conforme.

Después de esto, el grupo proporcionó a Bloomberg capturas de pantalla y una demostración operativa en tiempo real como prueba, y reveló que han seguido usando Mythos hasta el día de hoy. Aun así, subrayaron que su propósito se limitaba a «jugar con el modelo nuevo» y no tenían intención de llevar a cabo ninguna acción destructiva, porque no querían ser descubiertos.

¿Qué es Mythos? ¿Por qué genera preocupación en el exterior?

Claude Mythos es un modelo de IA diseñado por Anthropic para la defensa de ciberseguridad de empresas. El equipo lo definió como una herramienta «demasiado poderosa como para ser publicada públicamente». Su capacidad central consiste en identificar de forma proactiva vulnerabilidades de seguridad en sistemas digitales y ayudar a las empresas a completar las reparaciones antes de sufrir ataques.

Sin embargo, esta «espada defensiva» también puede ser una «espada de doble filo». Anthropic admite que, si Mythos cae en manos de actores maliciosos, su capacidad también podría usarse para lanzar ataques. Por ello, la compañía abrió Mythos únicamente a un pequeño número de grandes instituciones o empresas tecnológicas que han superado evaluaciones estrictas, a través del plan de ciberseguridad llamado «Project Glasswing».

La suposición central de este mecanismo de control cerrado es que los socios de confianza pueden garantizar que entre ellos las credenciales de acceso no se filtren.

(Preocupación de Anthropic por el acceso que esquiva la supervisión: Bessent y Powell convocan una reunión urgente con ejecutivos del banco)

Respuesta de Anthropic: estamos investigando, no hay impacto

Sobre esto, Anthropic declaró: «Estamos investigando un informe que afirma que se accedió sin autorización a Claude Mythos Preview a través de un entorno de un proveedor externo». La compañía enfatizó que, por el momento, no se ha encontrado que sus sistemas hayan sido afectados, y que preliminarmente este incidente «tiene más probabilidades de deberse a un abuso de permisos de acceso que a un ataque de hackers externo».

Aunque los usuarios que usaron Mythos de forma anticipada no hayan realizado acciones maliciosas, el propio incidente aún mantiene en alto estado de alerta a los expertos en ciberseguridad. Raluca Saceanu, directora ejecutiva de la empresa de ciberseguridad Smarttech247, señaló:

Cuando herramientas de IA potentes se acceden o se usan fuera de los mecanismos de control establecidos, el riesgo no se limita a un incidente de ciberseguridad; es más probable que surjan sospechas de fraude, abuso en la red u otros usos maliciosos.

¿Qué impacto podría causar esto? Debilidad en el control de seguridad de la IA

Lo verdaderamente preocupante de este incidente no es que alguien intentara sabotear, sino la vulnerabilidad sistémica que revela: cuando una empresa de IA transfiere el acceso a modelos de alta sensibilidad a proveedores externos, cualquier fallo en cualquier eslabón de la red de control —por pequeño que sea— puede convertirse en una brecha y desencadenar una crisis.

Ahora, el caso de Mythos le recuerda a toda la industria que, en un momento en que las capacidades de la IA avanzan rápidamente, el diseño de la arquitectura de seguridad no puede depender únicamente de la confianza; también necesita una resiliencia institucional que pueda soportar el fallo de la confianza. Para Anthropic, cómo reconstruir la confianza del público en sus mecanismos de control de socios será un reto más duradero que la propia investigación.

Este artículo: El modelo de ciberseguridad de nivel armamentístico de Anthropic, Mythos, sufrió acceso no autorizado: ¿cómo lo lograron? Aparece por primera vez en la Red de Enlaces ABMedia.