Identificar vulnerabilidades y exploits con la vista previa de Claude Mythos
Durante las últimas semanas, hemos utilizado la vista previa de Claude Mythos para identificar miles de vulnerabilidades de día cero (es decir, fallas desconocidas previamente por los desarrolladores del software), muchas de ellas críticas, en todos los principales sistemas operativos y navegadores web, junto con una variedad de otros software importantes.
En una publicación en nuestro blog de Frontier Red Team, proporcionamos detalles técnicos para un subconjunto de estas vulnerabilidades que ya han sido parcheadas y, en algunos casos, las formas en que Mythos Preview encontró para explotarlas. Fue capaz de identificar casi todas estas vulnerabilidades y desarrollar muchos exploits relacionados de manera autónoma, sin ninguna dirección humana. A continuación se presentan tres ejemplos:
– Mythos Preview encontró una vulnerabilidad de 27 años en OpenBSD, que tiene una reputación como uno de los sistemas operativos más seguros del mundo y se utiliza para ejecutar firewalls y otra infraestructura crítica. La vulnerabilidad permitía a un atacante bloquear de forma remota cualquier máquina que ejecute el sistema operativo simplemente conectándose a ella. – También descubrió una vulnerabilidad de 16 años en FFmpeg, que es utilizado por innumerables software para codificar y decodificar video, en una línea de código que las herramientas de prueba automatizadas habían golpeado cinco millones de veces sin capturar el problema. – El modelo encontró y encadenó varias vulnerabilidades de forma autónoma en el kernel de Linux, el software que ejecuta la mayoría de los servidores del mundo, para permitir a un atacante elevarse desde el acceso de usuario ordinario al control completo de la máquina.
Hemos informado las vulnerabilidades anteriores a los mantenedores del software relevante, y todas ellas han sido parcheadas. Para muchas otras vulnerabilidades, estamos proporcionando un hash criptográfico de los detalles hoy (consulte el blog de Red Team), y revelaremos los detalles específicos después de que se haya implementado la corrección.
Benchmarks de evaluación como CyberGym refuerzan la diferencia sustancial entre Mythos Preview y nuestro siguiente mejor modelo, Claude Opus 4.6.
Además de nuestro propio trabajo, muchos de nuestros socios han estado utilizando Claude Mythos Preview desde hace varias semanas. Esto es lo que han encontrado:
…
Las poderosas capacidades cibernéticas de Claude Mythos Preview son resultado de sus fuertes habilidades de codificación y razonamiento agenticos. Por ejemplo, como se muestra en los resultados de evaluación a continuación, el modelo tiene las puntajes más altos de cualquier modelo desarrollado hasta ahora en una variedad de tareas de codificación de software.
Mas información sobre las capacidades del modelo, sus propiedades de seguridad y sus características generales se pueden encontrar en la tarjeta del sistema de Claude Mythos Preview.
No tenemos planeado hacer a Claude Mythos Preview disponible para el público en general, pero nuestro objetivo final es permitir a nuestros usuarios implementar de forma segura modelos de clase Mythos a escala, para propósitos de ciberseguridad, pero también para los numerosos otros beneficios que estos modelos altamente capaces traerán. Para hacerlo, necesitamos avanzar en el desarrollo de salvaguardias de ciberseguridad (y otras) que detecten y bloqueen las salidas más peligrosas del modelo. Planeamos lanzar nuevas salvaguardias con un próximo modelo de Claude Opus, lo que nos permitirá mejorar y refinarlas con un modelo que no represente el mismo nivel de riesgo que Mythos Preview.
Planes para Proyecto Glasswing
El anuncio de hoy es el comienzo de un esfuerzo a largo plazo. Para tener éxito, requerirá una amplia participación de la industria tecnológica y más allá.
Los socios del Proyecto Glasswing recibirán acceso a Claude Mythos Preview para encontrar y corregir vulnerabilidades o debilidades en sus sistemas fundamentales, sistemas que representan una gran parte de la superficie de ataque cibernético compartida del mundo. Anticipamos que este trabajo se centrará en tareas como la detección local de vulnerabilidades, pruebas de caja negra de binarios, asegurar puntos finales y pruebas de penetración de sistemas.
El compromiso de Anthropic de $100 millones en créditos de uso de modelo para Proyecto Glasswing y otros participantes cubrirá un uso sustancial durante esta vista previa de investigación. Después, Claude Mythos Preview estará disponible para los participantes a $25/$125 por millón de tokens de entrada/salida (los participantes pueden acceder al modelo en la Claude API, Amazon Bedrock, Google Cloud’s Vertex AI y Microsoft Foundry).
Además de nuestro compromiso de créditos de uso de modelos, hemos donado $2.5 millones a Alpha-Omega y OpenSSF a través de la Linux Foundation, y $1.5 millones a la Apache Software Foundation para permitir a los mantenedores de software de código abierto responder a este panorama cambiante (los mantenedores interesados en acceder pueden aplicar a través del programa Claude for Open Source).
…
Estamos esperanzados de que Proyecto Glasswing pueda sembrar un esfuerzo más grande en toda la industria y el sector público, con todas las partes ayudando a abordar las preguntas más importantes sobre el impacto de los modelos poderosos en la seguridad. Invitamos a otros miembros de la industria de IA a unirse a nosotros para ayudar a establecer los estándares de la industria. A mediano plazo, un organismo independiente y de terceros, que pueda reunir organizaciones del sector privado y público, podría ser el hogar ideal para continuar trabajando en estos proyectos de ciberseguridad a gran escala.
.jpg?sfvrsn=6a13c957_5 "La revolución de la IA en el conflicto cibernético")
