Inicio
Noticias
Detalles

Anthropic lanza el proyecto Project Glasswing de $100 millones con 12 gigantes tecnológicos para corregir vulnerabilidades de software globales

iconTechFlow
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumen

expand icon
Anthropic anunció Project Glasswing, una iniciativa de $100 millones con AWS, Apple, Google, Microsoft, NVIDIA y otras nueve grandes empresas tecnológicas para abordar vulnerabilidades de software globales. El proyecto utiliza el modelo de IA de Anthropic, Claude Mythos Preview, para detectar y corregir fallos críticos antes de su explotación. La empresa está ofreciendo $100 millones en créditos de uso del modelo y $4 millones en apoyo directo a grupos de seguridad de código abierto. El modelo ya ha descubierto miles de vulnerabilidades zero-day en sistemas operativos y navegadores principales, algunas que datan de décadas atrás. El anuncio del proyecto destaca un esfuerzo más amplio por asegurar la infraestructura digital, alineándose con las discusiones globales en curso sobre políticas de cripto.

Autor: Anthropic

Compilado por DeepWave TechFlow

Guía de Shenchao: Anthropic ha lanzado un modelo avanzado aún no publicado, Claude Mythos Preview, cuya capacidad de auditoría de código supera a la mayoría de los expertos en seguridad humanos y puede descubrir automáticamente vulnerabilidades de día cero que existen desde hace décadas.

Basándose en esta capacidad, Anthropic, junto con AWS, Apple, Google, Microsoft, NVIDIA y otras 12 empresas tecnológicas líderes, ha lanzado el proyecto Project Glasswing, con una línea de crédito de 100 millones de dólares, con el objetivo de cerrar las vulnerabilidades en el software crítico global antes de que los atacantes adquieran la misma capacidad.

Introducción

Hoy anunciamos Project Glasswing, una nueva iniciativa que reúne a Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks con el objetivo de proteger la seguridad del software más crítico del mundo.

Iniciamos Project Glasswing porque un nuevo modelo de vanguardia entrenado por Anthropic demostró capacidades que creemos podrían redefinir el panorama de la ciberseguridad. Claude Mythos Preview es un modelo de vanguardia generalista y aún no lanzado que revela una dura realidad: la capacidad de codificación de los modelos de IA ha alcanzado un nivel en el que pueden superar a casi todos, excepto a los expertos más destacados, en la detección y explotación de vulnerabilidades de software.

Mythos Preview ha descubierto miles de vulnerabilidades críticas que afectan a cada sistema operativo principal y a cada navegador principal. Según la velocidad de avance de la IA, esta capacidad se extenderá en un futuro cercano y podría caer en manos de usuarios irresponsables. El impacto en la economía, la seguridad pública y la seguridad nacional podría ser muy grave. Project Glasswing es un intento urgente de priorizar estas capacidades para fines defensivos.

Como parte de Project Glasswing, los socios mencionados anteriormente utilizarán Mythos Preview en sus trabajos de seguridad defensiva; Anthropic compartirá las lecciones aprendidas para beneficiar a toda la industria. También hemos otorgado acceso a más de 40 organizaciones que construyen o mantienen infraestructuras de software críticas, permitiéndoles escanear y fortalecer sus propios sistemas y sistemas de código abierto. Anthropic se ha comprometido a destinar hasta 100 millones de dólares en créditos de uso de Mythos Preview, así como 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto.

Project Glasswing es solo el comienzo. Ninguna institución puede resolver por sí sola los problemas de ciberseguridad: los desarrolladores de IA de vanguardia, otras empresas de software, investigadores de seguridad, mantenedores de código abierto y gobiernos de todo el mundo desempeñan roles irremplazables. Defender la infraestructura de red global podría requerir años; mientras que las capacidades de IA de vanguardia podrían avanzar significativamente en los próximos meses. Los defensores cibernéticos deben actuar ahora para ganar ventaja.

Seguridad cibernética en la era de la IA

Los software en los que confiamos diariamente —que ejecutan sistemas bancarios, almacenan registros médicos, conectan redes logísticas y mantienen funcionando la red eléctrica— siempre tienen bugs. La mayoría son insignificantes, pero algunos son defectos de seguridad graves que, una vez descubiertos, permiten a los atacantes tomar el control de los sistemas, paralizar operaciones o robar datos.

Los efectos destructivos de los ataques cibernéticos sobre redes empresariales, sistemas médicos, infraestructuras energéticas, infraestructuras de transporte y las instituciones gubernamentalesde diversos países ya son evidentes. A nivel global, los ataques estatales provenientes de China, Irán, Corea del Norte y Rusia han amenazado infraestructuras que sustentan la vida civil y la preparación militar. Incluso los ataques de menor escala contra una sola hospital o escuela pueden causar enormes pérdidas económicas, exponer datos sensibles e incluso poner en peligro vidas humanas. Las pérdidas económicas anuales globales por ciberdelincuencia son difíciles de estimar con precisión, pero podrían ascender a unos 500.000 millones de dólares.

Anteriormente, muchos defectos de software permanecieron sin descubrir durante años, ya que encontrarlos y explotarlos requería conocimientos especializados que solo poseían unos pocos expertos en seguridad. Pero con la aparición de los últimos modelos de IA de vanguardia, el costo, el esfuerzo y el umbral profesional necesarios para descubrir y explotar vulnerabilidades de software se han reducido drásticamente. En el último año, los modelos de IA han mejorado considerablemente en la lectura y razonamiento de código, especialmente en la detección de vulnerabilidades y la construcción de explotaciones, mostrando un rendimiento asombroso. Claude Mythos Preview ha logrado un salto cualitativo en estas habilidades de ciberseguridad: ha descubierto vulnerabilidades que sobrevivieron durante décadas de revisión humana y millones de pruebas de seguridad automatizadas, y sus códigos de explotación se han vuelto cada vez más sofisticados.

Diez años después de la primera DARPA Cyber Grand Challenge, los modelos de IA de vanguardia están acercándose e incluso igualando la capacidad humana más avanzada para descubrir y explotar vulnerabilidades. Sin las medidas de seguridad necesarias, estas poderosas capacidades cibernéticas podrían utilizarse para aprovechar las numerosas deficiencias existentes en el software más importante del mundo. Los ataques cibernéticos se volverán más frecuentes, más destructivos y fortalecerán a los adversarios de Estados Unidos y sus aliados. Este es un prioridad de seguridad que los países democráticos deben tomar en serio.

La buena noticia es que las mismas capacidades que hacen que los modelos de IA sean peligrosos en manos equivocadas los hacen extremadamente valiosos para descubrir y corregir defectos críticos en software, así como para ayudar a producir nuevos software con menos errores de seguridad. Project Glasswing es un paso importante para que los defensores establezcan una ventaja duradera en la próxima era de ciberseguridad impulsada por IA.

Capacidad para descubrir vulnerabilidades y formas de explotación

Durante las últimas semanas, utilizamos Claude Mythos Preview para descubrir miles de vulnerabilidades de día cero (es decir, defectos completamente desconocidos para los desarrolladores de software) en cada sistema operativo principal, cada navegador principal y una serie de otros software importantes, muchas de las cuales son de alto riesgo.

En Frontier Red Team Blog, revelamos detalles técnicos de algunas de las vulnerabilidades ya corregidas, así como las formas de explotación encontradas por Mythos Preview. Casi todas estas vulnerabilidades (y el desarrollo de muchas explotaciones relacionadas) fueron descubiertas completamente de forma autónoma por el modelo, sin ninguna guía humana. Aquí tienes tres ejemplos:

  • Mythos Preview ha descubierto una vulnerabilidad de 27 años en OpenBSD. OpenBSD es conocido por su excelente nivel de seguridad y se utiliza ampliamente en firewalls y otras infraestructuras críticas. Esta vulnerabilidad permite a los atacantes hacer que la máquina objetivo se bloquee remotamente simplemente conectándose a ella.
  • También descubrió una vulnerabilidad de 16 años en FFmpeg. FFmpeg se utiliza en innumerables software para códecs de video. El problema radica en una línea de código, y las herramientas de prueba automatizada ya han alcanzado esta línea de código 5 millones de veces, sin nunca detectar el problema.
  • El modelo descubrió y enlazó automáticamente varias vulnerabilidades en el kernel de Linux (que ejecuta la mayor parte de los servidores del mundo), logrando un ataque de escalada de privilegios desde permisos de usuario normal hasta el control total de la máquina.

Hemos informado a los mantenedores de software correspondientes sobre todas las vulnerabilidades mencionadas anteriormente, y todas ya han sido corregidas. Para muchas otras vulnerabilidades, hoy proporcionamos hashes criptográficos detallados (consulte el blog del Red Team) y haremos públicos los detalles específicos una vez que se hayan reparado.

Los benchmarks como CyberGym también validan la diferencia significativa entre Mythos Preview y nuestro segundo modelo más fuerte, Claude Opus 4.6:

Reproducción de vulnerabilidades de seguridad cibernética - CyberGym

imagen

Además de nuestro propio trabajo, muchos socios han estado utilizando Claude Mythos Preview durante varias semanas. Aquí tienen sus comentarios:

La capacidad de la IA ha cruzado un umbral que ha cambiado de forma fundamental y irreversible el nivel de urgencia necesario para proteger la infraestructura crítica de amenazas cibernéticas. Con nuestro trabajo fundamental en estos modelos, hemos demostrado que es posible identificar y corregir vulnerabilidades de seguridad en hardware y software a una velocidad y escala sin precedentes. Se trata de un cambio profundo y una señal clara: los métodos antiguos de fortalecimiento de sistemas ya no son suficientes. Los proveedores de tecnología deben adoptar activamente nuevos enfoques de inmediato, y los clientes también deben prepararse para su implementación. Esta es la razón por la que Cisco se une a Project Glasswing: este trabajo es demasiado importante y urgente como para hacerlo solos.

—— Anthony Grieco, vicepresidente senior y director de seguridad y confianza de Cisco

En AWS, construimos defensas antes de que surjan las amenazas, desde chips personalizados hasta toda la pila tecnológica. La seguridad no es una fase, es continua y está incrustada en todo lo que hacemos. Nuestro equipo analiza más de 400 billones de eventos de tráfico de red diariamente para detectar amenazas, y la IA es el núcleo de nuestra capacidad de defensa a gran escala. Hemos estado probando Claude Mythos Preview en nuestras propias operaciones de seguridad, aplicándolo a repositorios de código críticos, y ya está ayudándonos a fortalecer el código. Estamos aportando nuestra profunda experiencia en seguridad a la colaboración con Anthropic y ayudando a reforzar Claude Mythos Preview para que más organizaciones puedan avanzar con los más altos estándares de seguridad.

—— Amy Herzog, vicepresidenta y directora de seguridad de la información de Amazon Web Services

Cuando la ciberseguridad ya no esté limitada por la capacidad humana pura, la oportunidad de utilizar la IA de manera responsable para escalar la seguridad y reducir riesgos es sin precedentes. Unirse a Project Glasswing y obtener acceso a Claude Mythos Preview nos permite identificar y mitigar riesgos desde etapas tempranas, fortaleciendo nuestras soluciones de seguridad y desarrollo para proteger mejor a los clientes y a Microsoft. Al probarlo en nuestro benchmark de seguridad de código abierto CTI-REALM, Claude Mythos Preview mostró mejoras sustanciales en comparación con modelos anteriores. Esperamos colaborar con Anthropic y la industria en general para mejorar los resultados de seguridad para todos.

—— Igor Tsyganskiy, vicepresidente ejecutivo de seguridad cibernética y investigación de Microsoft

El plazo entre el descubrimiento de una vulnerabilidad y su explotación por atacantes se ha colapsado: lo que antes tomaba meses ahora se puede lograr en minutos con IA. La versión preliminar de Claude Mythos demuestra la posibilidad de una acción a gran escala por parte de los defensores, y los oponentes buscarán inevitablemente aprovechar la misma capacidad. Esto no es una razón para ralentizar el paso, sino para acelerar juntos. Para implementar IA, se requieren garantías de seguridad. Por eso CrowdStrike participa desde el primer día.

—— Elia Zaitsev, Chief Technology Officer de CrowdStrike

En el pasado, la experiencia en seguridad era un lujo reservado para organizaciones con grandes equipos de seguridad. Los mantenedores de software de código abierto, cuyos programas respaldan la mayor parte de la infraestructura crítica mundial, siempre han tenido que resolver problemas de seguridad por su cuenta. El software de código abierto constituye la mayor parte del código en los sistemas modernos, incluyendo los propios sistemas que los agentes de IA utilizan para escribir nuevo software. A través de permitir que los mantenedores de estas bibliotecas de código abierto críticas accedan a modelos de IA de nueva generación capaces de identificar y corregir vulnerabilidades de forma proactiva a gran escala, Project Glasswing ofrece un camino concreto para cambiar esta situación. Así es cómo la seguridad potenciada por IA puede pasar de ser una herramienta exclusiva de grandes equipos a convertirse en un asistente confiable para cada mantenedor.

—— Jim Zemlin, CEO de Linux Foundation

Promover la ciberseguridad y la resiliencia del sistema financiero es fundamental en la misión de JPMorgan Chase, y creemos que la industria es más fuerte cuando las instituciones líderes colaboran en desafíos comunes. Project Glasswing ofrece una oportunidad única y temprana para evaluar según nuestros propios estándares la capacidad de las herramientas de IA de próxima generación en la defensa cibernética de infraestructuras críticas, mientras trabajamos junto a líderes tecnológicos respetados. Adoptaremos un enfoque riguroso e independiente para determinar cómo avanzar y cómo contribuir. La iniciativa de Anthropic refleja el enfoque proactivo y colaborativo que este momento requiere.

— Pat Opet, director de seguridad de la información jefe de JPMorgan Chase

Google se alegra de ver la formación de esta iniciativa intersectorial de ciberseguridad y ofrece Mythos Preview a los participantes a través de Vertex AI. La colaboración del sector en problemas de seguridad emergentes ha sido siempre crucial, ya sea en criptografía post-cuántica, divulgación responsable de vulnerabilidades zero-day, seguridad de software de código abierto o defensa contra ataques basados en IA. Siempre hemos creído que la IA presenta tanto nuevos desafíos como nuevas oportunidades en la ciberdefensa, por eso hemos desarrollado herramientas impulsadas por IA como Big Sleep y CodeMender para descubrir y corregir defectos críticos en software. Continuaremos invirtiendo en plataformas líderes de ciberseguridad y en una cultura centrada en proteger a los usuarios, clientes, ecosistemas y la seguridad nacional.

—— Heather Adkins, vicepresidenta de Ingeniería de Seguridad de Google

Durante las últimas semanas, hemos estado utilizando el modelo Claude Mythos Preview para identificar vulnerabilidades complejas que los modelos de la generación anterior completamente omitieron. Esto no solo ha cambiado las reglas del juego en la detección de vulnerabilidades ocultas, sino que también significa que los atacantes podrán descubrir y explotar más vulnerabilidades de día cero más rápido que nunca. Es evidente que estos modelos deben ponerse en manos de los propietarios de proyectos de código abierto y todos los defensores, para descubrir y corregir vulnerabilidades antes de que los atacantes obtengan acceso. Quizás lo más importante: todos deben prepararse para atacantes asistidos por IA. Los ataques serán más numerosos, más rápidos y más complejos. Ahora es el momento de actualizar integralmente los sistemas de ciberseguridad. Agradecemos a Anthropic por colaborar con la industria para asegurar que estas poderosas capacidades se prioricen en favor de la defensa.

—— Lee Klarich, Chief Product and Technology Officer de Palo Alto Networks

Claude Mythos Preview: su poderosa capacidad de ciberseguridad se deriva de su excelente codificación y capacidad de razonamiento de agentes. Los siguientes resultados de evaluación muestran que este modelo obtuvo la puntuación más alta entre todos los modelos conocidos en varias tareas de codificación de software.

Agent encoding

imagen

Reasoning

imagen

Búsqueda de agentes y uso de computadoras

imagen

Nota:

  • SWE-bench Verificado, Pro y Multilingüe: La criba de memorización marcó algunos problemas. Tras excluir los problemas que podrían estar memorizados, la ventaja de Mythos Preview respecto a Opus 4.6 se mantiene.
  • SWE-bench Multimodal: Utilice la implementación interna; las puntuaciones no se pueden comparar directamente con la lista de clasificación pública.
  • Terminal-Bench 2.0: utilizando el marco Terminus-2, con modo de pensamiento adaptativo y esfuerzo máximo, presupuesto total de 1 millón de tokens por tarea, recursos asignados con 1x garantía / 3x límite superior, y promedio de 5 intentos por tarea. Después de aumentar el límite de tiempo a 4 horas y aplicar la actualización de Terminal-Bench 2.1, la puntuación de Mythos Preview fue del 92.1%.
  • BrowseComp: Claude Mythos Preview obtiene una puntuación superior a Opus 4.6, mientras que consume solo 1/4.9 de los tokens de este último.
  • El último examen de la humanidad: Mythos sigue desempeñándose bien en modo de bajo esfuerzo, lo que sugiere una cierta grado de memorización.

Para obtener más información sobre las capacidades, atributos de seguridad y características básicas de este modelo, consulte Claude Mythos Preview System Card.

No planeamos lanzar Claude Mythos Preview al público, pero nuestro objetivo final es permitir a los usuarios implementar de forma segura y a gran escala modelos del nivel Mythos, no solo para ciberseguridad, sino también para los numerosos otros valores que estos modelos de alta capacidad traerán. Para lograrlo, necesitamos avanzar en el desarrollo de medidas de seguridad para ciberseguridad (y otras) que puedan detectar y bloquear las salidas más peligrosas del modelo. Planeamos lanzar nuevas medidas de seguridad en el próximo modelo Claude Opus, lo que nos permitirá mejorar y perfeccionar estas medidas con un modelo que no presente el mismo nivel de riesgo que Mythos Preview.

Siguiente paso del proyecto Glasswing

Este lanzamiento es el comienzo de un esfuerzo a largo plazo. Para tener éxito, se requiere una amplia participación dentro y fuera de la industria tecnológica.

Los socios de Project Glasswing obtendrán acceso a Claude Mythos Preview para identificar y corregir vulnerabilidades y debilidades en sus sistemas subyacentes, que representan una gran proporción de la superficie de ataque compartida a nivel mundial. Se espera que los esfuerzos se centren en la detección local de vulnerabilidades, pruebas de caja negra binaria, fortalecimiento de puntos finales y pruebas de penetración del sistema.

Los 100 millones de dólares en cuotas de uso de modelos comprometidos por Anthropic para Project Glasswing y otros participantes cubrirán el uso intensivo durante el período de previsualización de investigación. Después, Claude Mythos Preview se ofrecerá a los participantes a un precio de 25 dólares / 125 dólares por millón de tokens de entrada / salida (los participantes pueden acceder al modelo a través de Claude API, Amazon Bedrock, Google Cloud Vertex AI y Microsoft Foundry).

Además de los créditos del modelo, hemos donado 2,5 millones de dólares a Alpha-Omega y OpenSSF a través de la Linux Foundation, y 1,5 millones de dólares a la Apache Software Foundation, para ayudar a los mantenedores de software de código abierto a hacer frente a este nuevo panorama (los mantenedores interesados pueden solicitar acceso a través del programa Claude for Open Source).

Planeamos extender este esfuerzo en alcance durante varios meses y compartir la mayor cantidad posible de experiencias para que otras organizaciones puedan aplicarlas a su propia seguridad. Los socios compartirán información y mejores prácticas dentro de los límites permitidos; dentro de los 90 días, Anthropic publicará un informe sobre nuestros hallazgos, así como sobre las vulnerabilidades reparadas y las mejoras que puedan divulgarse. Además, colaboraremos con organizaciones de seguridad líderes para desarrollar una serie de recomendaciones prácticas sobre la evolución de las prácticas de seguridad en la era de la IA, que podrían abarcar: procesos de divulgación de vulnerabilidades, procesos de actualización de software, seguridad de código abierto y cadena de suministro, ciclo de vida del desarrollo de software y prácticas de diseño seguro, estándares regulados para industrias, triaje escalable y automatización, y automatización de parches.

Anthropic también ha estado dialogando con funcionarios del gobierno de Estados Unidos sobre las capacidades de ciberseguridad defensiva y ofensiva de Claude Mythos Preview. Proteger la infraestructura crítica es una prioridad nacional de seguridad primordial para los países democráticos; la aparición de estas capacidades de ciberseguridad subraya nuevamente que Estados Unidos y sus aliados deben mantener una ventaja decisiva en la tecnología de IA. El gobierno desempeña un papel indispensable para ayudar a mantener esta ventaja liderazgo, así como para evaluar y mitigar los riesgos de seguridad nacional asociados con los modelos de IA. Estamos dispuestos a colaborar con representantes gubernamentales en todos los niveles para ayudar a cumplir estas tareas.

Esperamos que Project Glasswing impulse un esfuerzo más amplio que involucre a la industria y al sector público, abordando conjuntamente los mayores desafíos de seguridad relacionados con modelos potentes. Invitamos a otros miembros de la industria de la IA a unirse y colaborar en la elaboración de estándares industriales. A mediano plazo, una institución independiente de terceros, capaz de reunir a organizaciones del sector privado y público, podría ser la plataforma ideal para dar seguimiento a estos grandes proyectos de ciberseguridad.

Nota

  1. Este proyecto lleva el nombre de la mariposa ala de vidrio (Greta oto). Esta metáfora tiene dos capas de significado: las alas transparentes de la mariposa le permiten desaparecer, al igual que las vulnerabilidades discutidas en este artículo que se ocultan dentro del código; las alas transparentes también la ayudan a evitar daños, al igual que el enfoque de transparencia que promovemos.
  2. Mythos proviene del griego antiguo y significa "narrativa" o "historia": el sistema de historias que las civilizaciones utilizan para comprender el mundo.
  3. Los profesionales de la seguridad que trabajan legalmente y que se ven afectados por estas medidas de seguridad pueden solicitar el próximo programa de verificación de ciberseguridad (Cyber Verification Program).
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.