La irrupció de Claude Mythos Preview, el nou model d’intel·ligència artificial d’Anthropic especialitzat en ciberseguretat, ha encès les alarmes entre governs, empreses tecnològiques i entitats financeres. La seva capacitat per detectar vulnerabilitats de programari amb una rapidesa i profunditat inèdites el converteix en una eina potencialment molt valuosa per reforçar defenses, però també en una possible arma ofensiva si caigués en males mans.
Mythos és capaç d’analitzar grans bases de codi i trobar-hi errors de seguretat que podrien ser explotats per ciberdelinqüents. Segons Anthropic, el model ja ha identificat “milers de vulnerabilitats d’alta gravetat”, algunes de les quals havien passat “desapercebudes durant dècades” en revisions humanes i proves automatitzades.
La companyia, de moment, ha optat per no fer públic el model. En lloc d’això, l’ha posat a disposició d’un grup reduït d’organitzacions dins del Projecte Glasswing, una iniciativa amb empreses com Apple, Amazon Web Services, Google, Cisco, JPMorganChase, Nvidia, Microsoft o la Linux Foundation, entre d’altres. L’objectiu és que aquestes companyies puguin provar el sistema i preparar-se davant els riscos que plantegen les noves capacitats de la IA aplicada al hacking.
El cas ha generat inquietud especialment a Europa, on encara no hi ha hagut accés al model. Els ministres d’Economia i Finances de l’eurozona han començat a abordar els riscos que eines com Mythos poden suposar per a la seguretat econòmica, sobretot en el sector bancari. El president de l’Eurogrup, Kyriakos Pierrakakis, va defensar la necessitat d’obrir canals amb els Estats Units: “La sobirania tecnològica d’Europa és el debat central, però no crec que puguem permetre’ns el luxe de no intentar establir canals de comunicació amb els Estats Units”.
Si Mythos acaba en mans inadequades...
També el Banc d’Espanya ha reclamat una cooperació internacional més forta i un accés més ampli als models d’intel·ligència artificial d’avantguarda. El director general d’Estabilitat Financera, Regulació i Resolució del Banc d’Espanya, David Pérez Cid, ha defensat que, “en una situació en què el món està tan interconnectat, seria raonable esperar que tothom pogués preparar-se per millorar els seus mecanismes de defensa”.
La preocupació no és només econòmica, ja que fonts governamentals i dels serveis d’intel·ligència espanyols alerten que, si Mythos acabés en mans inadequades, les conseqüències podrien afectar infraestructures crítiques com xarxes elèctriques, centrals nuclears, oleoductes, ports, aeroports, hospitals, sistemes de dades sanitàries o centres de gestió de crisis.
Els experts adverteixen que la IA pot reduir de manera dràstica el cost, el temps i els coneixements necessaris per descobrir i explotar vulnerabilitats. Això pot ajudar les empreses a anticipar-se als atacs, però també pot facilitar la feina als ciberdelinqüents. Rafael Palacios, director de l’Oficina d’intel·ligència artificial de la Universitat Pontifícia de Comillas, recorda que Mythos pot detectar vulnerabilitats de dia zero, és a dir, errors desconeguts i sense pegat disponible. “Si un ciberatacant descobreix una d’aquestes vulnerabilitats zero-day i aconsegueix fer un exploit, podria començar a atacar els sistemes. I com que és una vulnerabilitat desconeguda, no existeix cap pegat per a ella”, alerta.