Según Bloomberg, un foro en línea privado ha obtenido acceso a la herramienta de ciberseguridad de Anthropic, Mythos, poco después de su presentación pública. El grupo, cuyos miembros se congregan en un canal de Discord dedicado a modelos de IA no lanzados, aprovechó el acceso concedido a un contratista de terceros que presta servicios para Anthropic. Al aprovechar ese punto de apoyo, los participantes del foro pudieron ejecutar Mythos y compartir capturas de pantalla y una demostración en vivo con Bloomberg.

Un portavoz de Anthropic confirmó que la empresa está "investigando un informe que alega acceso no autorizado a Claude Mythos Preview a través de uno de nuestros entornos de proveedores de terceros". La empresa agregó que, hasta la fecha, no ha encontrado evidencia de que la actividad alegada haya afectado los sistemas o datos de Anthropic.

Según la fuente de Bloomberg, los usuarios no autorizados supusieron la ubicación en línea del modelo basándose en las convenciones de nomenclatura de Anthropic para otros modelos. Su motivación parece ser la curiosidad más que el sabotaje; una fuente le dijo a Bloomberg que el grupo está "interesado en jugar con nuevos modelos, no en causar estragos con ellos". Sin embargo, la capacidad de ejecutar Mythos fuera del grupo de proveedores previsto plantea señales de alerta para Anthropic, que comercializó la herramienta como un activo defensivo para la seguridad corporativa.

Mythos se lanzó bajo el proyecto Glasswing de Anthropic a un conjunto limitado de socios, incluyendo Apple, para prevenir el mal uso por parte de actores maliciosos. La IA se presenta como un poderoso aliado para los equipos de seguridad de empresas, capaz de detectar y responder a amenazas en tiempo real. Anthropic advirtió que, en las manos equivocadas, las mismas capacidades podrían ser utilizadas contra las organizaciones que pretende proteger.

El acceso no autorizado subraya los desafíos de proteger las herramientas de IA que dependen de ecosistemas de terceros. Si bien los procesos de verificación de Anthropic probablemente incluyeron salvaguardias contractuales, el incidente muestra que un solo proveedor comprometido puede abrir una puerta trasera a tecnología sofisticada. Los expertos en seguridad señalan que, a medida que los modelos de IA se vuelvan más integrales para la infraestructura crítica, los riesgos de la cadena de suministro requerirán una mayor atención.

Anthropic no ha revelado si suspenderá el acceso del contratista comprometido o emitirá un recall más amplio de Mythos. Los próximos pasos de la empresa probablemente involucrarán una auditoría exhaustiva de sus prácticas de gestión de proveedores y posiblemente controles más estrictos sobre la distribución de modelos.

Por ahora, el incidente sigue bajo investigación, y Anthropic no ha reportado daños o pérdidas de datos concretos derivados del uso no autorizado. El episodio sirve como una historia de advertencia para las empresas que buscan implementar soluciones de seguridad de IA avanzadas sin tener en cuenta completamente las vulnerabilidades introducidas por socios externos.

Usado: News Factory APP - descubrimiento de noticias y automatización - ChatGPT para Empresas