OpenAI presentó GPT-5.4-Cyber el jueves, posicionando el nuevo modelo como un asistente creado específicamente para el trabajo de seguridad defensiva. A diferencia del modelo GPT-5.4 estándar, la variante Cyber relaja los límites de negación habituales, permitiendo que los analistas verificados consulten el modelo sobre investigaciones de vulnerabilidades, análisis de exploits y comportamiento de malware. También agrega funcionalidad de ingeniería inversa binaria, lo que permite a los usuarios cargar ejecutables compilados y recibir evaluaciones detalladas de posibles debilidades.

El modelo se entrega a través del marco de Acceso Verificado para Ciberseguridad (TAC) de la empresa, un sistema de identidad y confianza lanzado en febrero junto con un fondo de subvenciones de $10 millones. TAC controla el acceso a modelos más capaces detrás de niveles de verificación. Los defensores individuales pueden iniciar sesión en chatgpt.com/cyber, mientras que las empresas deben solicitar acceso para todo el equipo a través de un representante de OpenAI. Un nivel de invitación solo para los más altos concede las capacidades más permisivas, incluido GPT-5.4-Cyber, pero puede requerir que los usuarios renuncien a la retención de datos cero, lo que da a OpenAI visibilidad sobre cómo se aplica el modelo.

La última actualización de OpenAI amplía TAC desde una prueba piloto limitada a "miles de defensores individuales verificados y cientos de equipos responsables de defender software crítico", según la empresa. Nuevos niveles de verificación desbloquean características progresivamente más poderosas, y la implementación marca un cambio de la negación del modelo a un enfoque en quién puede hacer las preguntas. OpenAI enmarca el enfoque en torno a tres principios: acceso democratizado a través de la verificación objetiva, implementación iterativa que refina la seguridad a medida que surgen los riesgos y resiliencia del ecosistema a través de subvenciones y contribuciones de código abierto.

La sincronización coincide con el anuncio de abril de Anthropic sobre Project Glasswing, que colocó su modelo Claude Mythos Preview detrás de una iniciativa defensiva de $100 millones y limitó el acceso a solo 11 organizaciones, incluidas Apple, Google, Microsoft y varias otras. El modelo de Anthropic demostró la capacidad de descubrir de forma autónoma miles de vulnerabilidades de día cero en sistemas operativos principales, lo que llevó a la empresa a mantener la herramienta estrictamente controlada. La estrategia de OpenAI diverge, ofreciendo una solución menos poderosa pero más ampliamente disponible, argumentando que restringir herramientas de seguridad avanzadas a un puñado de gigantes tecnológicos deja a la mayoría de las organizaciones – hospitales, gobiernos municipales, pequeñas empresas de seguridad – sin capacidades defensivas comparables.

Más allá de la barrera de negación reducida, GPT-5.4-Cyber se enfoca en flujos de trabajo que el ChatGPT estándar maneja mal. La ingeniería inversa binaria, la característica destacada, permite a los analistas disectar binarios sin código fuente, una tarea tradicionalmente reservada para herramientas como IDA Pro o Ghidra. El modelo también responde a consultas de doble uso sobre técnicas de ataque, cadenas de exploits y clases de vulnerabilidades, reduciendo la fricción para los equipos de seguridad que necesitan razonar sobre tácticas adversarias.

OpenAI empareja el modelo con Codex Security, un servicio de análisis de código automatizado que ya ha contribuido a más de 3,000 correcciones críticas de vulnerabilidades en todo el ecosistema de código abierto. Codex ahora cubre más de 1,000 proyectos a través de un programa de análisis gratuito, reforzando la pila defensiva alrededor del nuevo modelo.

El dilema de doble uso sigue siendo central. Las mismas capacidades que ayudan a los defensores a detectar fallos pueden ayudar a los atacantes a aprovecharlos. OpenAI argumenta que la verificación, el acceso por niveles y la supervisión del uso son salvaguardas más efectivas que la negación en blanco, citando investigaciones que muestran que los ataques de inyección de instrucciones pueden eludir las defensas basadas en la negación más del 85% de las veces. Los críticos señalan que requerir a los usuarios de nivel superior que renuncien a la retención de datos cero podría exponer datos de investigación sensibles a OpenAI, creando un posible punto único de compromiso si los logs se violan.

Como la Ley de IA de la UE se prepara para su aplicación en agosto de 2026, los sistemas de IA de alto riesgo – incluidas las herramientas de automatización de la seguridad – deberán cumplir con estrictos requisitos de gestión de riesgos y transparencia. Cómo el modelo de acceso por niveles de OpenAI se ajusta a ese marco regulatorio sigue siendo incierto.

Por ahora, la industria observa a dos empresas líderes en IA que compiten para equipar a los defensores cibernéticos con modelos que pueden analizar vulnerabilidades a una velocidad sin precedentes. Si la competencia produce una internet más segura o amplifica el riesgo dependerá de lo robusto que sean los controles de acceso y los mecanismos de supervisión.

Usado: News Factory APP - descubrimiento de noticias y automatización - ChatGPT para Empresas