El passat 7 d'abril, Anthropic va presentar Mythos. Anthropic és, avui, el tercer proveïdor del sector de grans  models de llenguatge en quota de mercat —després d'OpenAI i Google—, però avança amb pas decidit i pocs  dels seus moviments són anecdòtics.

Aquest, en concret, no ho és gens. Segons Anthropic, Mythos no és una evolució més del seu millor model. Conceptualment, és una altra cosa. El  que el fa interessant — i alhora inquietant — és que, sense haver estat entrenat explícitament per buscar  vulnerabilitats informàtiques, les troba amb una eficàcia quasi cent vegades superior al millor model  d'Anthropic de fa només un mes.

El model ha detectat errades que portaven dècades amagades, i ha trobat vulnerabilitats en biblioteques criptogràfiques: les que s’encarreguen de protegir la privacitat de les dades. Pot  identificar, potencialment, vulnerabilitats als principals sistemes operatius i en tots els navegadors. A això cal  sumar-hi que identificar una vulnerabilitat individual amb Mythos pot costar, de mitjana, uns 2.000 dòlars.  

Tot plegat ha fet saltar totes les alarmes, ja que el risc és evident: si el model es posés a disposició, podríem  estar davant d’una democratització del hacking. En definitiva, ja no caldria ser un expert, i el cost no seria una  barrera per a qui tingui males intencions. La bona notícia és —i aquí hi ha el matís que no podem perdre de  vista— que el mateix model que detecta les errades també té capacitat per classificar-les per gravetat i  col·laborar en la cerca de solucions per esmenar-les. La pregunta, doncs, no és si Mythos és perillós o útil. És les dues coses alhora.  

La resposta d’Anthropic: el projecte Glasswing  

I aquí ve la segona part de la història, potser més rellevant que la mateixa tecnologia. Anthropic decideix no  posar Mythos a disposició del públic. La seva resposta és el projecte Glasswing — papallona d'ales de vidre. El  nom no és casual: invisible com les vulnerabilitats que detecta, i alhora un exercici de transparència. El projecte posa Mythos a disposició de forma anticipada, controlada i coordinada a dotze socis principals — fonamentalment grans tecnològiques nord-americanes i empreses de seguretat— i a una quarantena  d'organitzacions addicionals que mantenen infraestructura crítica.

L’objectiu és clar: donar un avantatge  temporal a aquestes empreses i institucions per tancar les seves escletxes de seguretat, abans que el model es  pogués fer públic. Fins aquí, el debat podria semblar estrictament tecnològic: com contenir una eina massa poderosa. Però  Glasswing introdueix una pregunta molt més política: qui queda dins del projecte, i qui en queda fora?  

Els Estats Units fa temps que han assumit que el lideratge global en IA és una qüestió estratègica de primer  ordre. Per això Mythos ja no és només una eina tecnològica: és un actiu clau. A principis de mes, de fet, la Casa  Blanca estudiava instaurar un sistema de revisió pública dels models abans de llançar-los, un gir notable en una  administració que fins ara s’havia oposat a regular. Washington comença a veure que caldrà establir  mecanismes de governança més sòlids per a la IA. Quan decisions d’aquesta magnitud queden en mans  d’empreses privades, qualsevol govern queda en una posició incòmoda. 

Xina, per la seva banda, queda fora del projecte: Anthropic la considera un país adversari. En aquest cas, però,  l'exclusió no equival a quietud — més aviat al contrari. El mateix Dario Amodei, conseller delegat d'Anthropic,  admet que Pekin podria tenir un model equivalent a Mythos en sis mesos o un any. I ho diu amb coneixement de  causa: la Xina juga amb un model propi —cooperació estreta entre estat i indústria— que li dona agilitat per  moure's.  

No és casual que Jensen Huang, conseller delegat de Nvidia, plantegés ja a l'abril que el cas Mythos  demostrava que Washington i Pekin s'haurien d'asseure a parlar dels límits d’ús d’aquesta tecnologia, ni que a  la cimera bilateral celebrada la setmana passada entre ambdues potències es declarés explícitament que  havien abordat la possibilitat de fixar límits —guarda-raïls— conjunts per a la IA.  

Al mateix temps, Europa queda fora d’aquest club exclusiu. Té regulació, té mercat i té sectors crítics exposats,  però no té accés a l’eina, perquè l’ampliació d’aquest accés està condicionada per criteris de seguretat,  capacitat operativa i pressió del govern nord-americà. Mentre Brussel·les segueix reclamant fer-ne ús, i mentre  Mistral —l'únic gran proveïdor europeu de grans models de llenguatge— prepara la seva pròpia eina de detecció  de vulnerabilitats, el BCE recorda als bancs sistèmics que la manca d'accés a Mythos "no és cap excusa per a  la inacció".  

I mentre Europa espera, el contrast internacional comença a fer-se visible: segons informacions no confirmades  oficialment per les parts després d'una reunió bilateral entre el secretari del Tresor nord-americà i la ministra de  Finances japonesa, tres grans bancs japonesos podrien rebre accés a Mythos abans de finals de maig.  

Ja no parlem només de tecnologia. Parlem de poder. I també de competitivitat. Si una empresa nord-americana  pot detectar abans les seves vulnerabilitats, prioritzar millor les inversions en seguretat i reduir el risc  operacional, obté un avantatge que, més enllà del tècnic, és econòmic. En sectors regulats com la banca,  l’energia o les telecomunicacions, l’accés a aquestes eines pot acabar determinant qui gestiona millor el risc i  qui el pateix.  

La paradoxa que no havíem vist venir a Europa  

Europa va aprovar la seva governança en matèria d’intel·ligència artificial l’any 2024. L’AI Act és, probablement,  l’intent més ambiciós del món per posar ordre a la IA abans que el desplegament massiu dels models acabi  fixant les regles de facto del mercat. És una regulació exigent, orientada a protegir drets, reduir riscos i donar  garanties als usuaris de la Unió. El resultat és una Europa més garantista, però fins ara menys àgil, en una cursa  tecnològica que no espera ningú.  

I aquí és on Europa topa amb els seus propis límits: el 7 de maig Brussel·les va assolir un acord intern preliminar  per retardar fins al desembre del 2027 l’aplicació dels articles d’alt risc de l’AI Act. Oficialment, l’objectiu és  donar més marge a empreses i estats membres perquè s’adaptin a la nova normativa.

Però costa no llegir-hi  també una altra preocupació: que, quan Europa tingui accés a Mythos o a eines equivalents d’altres proveïdors,  la nostra pròpia regulació no acabi limitant-ne l’ús. Aquesta no l’havíem vist venir. Vam pensar la regulació per protegir-nos dels riscos de la IA. El problema, ara,  és gairebé l’invers: voldríem fer-la servir, però els qui la controlen no ens hi donen accés.