El CEO de Anthropic, Dario Amodei, advirtió el martes que el modelo de IA más reciente de la empresa ha descubierto decenas de miles de vulnerabilidades de software. Los competidores geopolíticos tienen de seis a 12 meses para localizarlas y weaponizarlas antes de que los parches estén disponibles.
La advertencia se centró en Mythos, el modelo de frontera más nuevo de Anthropic. Mythos ha descubierto defectos en software crítico a una escala que empequeñece generaciones anteriores de Claude. Un modelo anterior de Anthropic encontró aproximadamente 20 vulnerabilidades en Firefox. Mythos encontró cerca de 300. El conteo agregado en todo el software analizado asciende a decenas de miles. La mayoría permanece sin parche y sin divulgar—identificar públicamente defectos antes de que existan correcciones entregaría a los adversarios un mapa de ruta.
Anthropic restringió el acceso a Mythos solo a empresas socias verificadas. Amodei sitúo el descubrimiento de vulnerabilidades en una línea de tiempo: los modelos de IA chinos están \"quizás seis a 12 meses\" detrás de la capacidad de Anthropic, dejando \"aproximadamente ese tiempo\" para cerrar la ventana de exposición. \"El peligro es simplemente un aumento enorme en la cantidad de vulnerabilidades, en la cantidad de brechas, en el daño financiero causado por ransomware en escuelas, hospitales, sin mencionar bancos\", dijo.
Para los equipos de seguridad empresarial, el cambio estructural es este: el descubrimiento de vulnerabilidades impulsado por IA ahora supera los canales tradicionales de pruebas de penetración y análisis estático. La adopción de IA ahora es una cuestión de postura de ciberseguridad, no solo de productividad. Los CISOs que no han integrado análisis asistido por IA en sus ciclos de revisión de cadena de suministro de software enfrentan un déficit agravante. Los mismos modelos disponibles para defensores se están acercando a la paridad con actores estatales adversarios. Las decisiones de adquisición sobre plataformas de IA dependerán cada vez más de si los proveedores pueden demostrar prácticas de seguridad verificadas y acceso controlado a modelos.
Amodei hizo estos comentarios junto al CEO de JPMorgan Chase, Jamie Dimon, en un evento de servicios financieros de Anthropic. El emparejamiento señala el posicionamiento de Anthropic en el mercado empresarial antes de una posible IPO. Anthropic anunció 10 nuevos agentes de IA para banca de inversión y automatización de back-office, una integración unificada en productos de Microsoft Office, y divulgó que su modelo Claude Opus 4.7 lidera benchmarks para tareas de análisis financiero. Dimon caracterizó el riesgo de ciberseguridad impulsado por IA como un \"período transitorio\"—presente y real, pero limitado.
Sobre regulación, Amodei pidió un marco de industria automotriz: estándares de seguridad de línea base obligatorios sin obstruir el desarrollo competitivo. \"No puedes simplemente iniciar una compañía de autos sin 'Tiene frenos esta cosa?'\" dijo. La industria necesita un proceso que \"funcione expeditivamente, sea justo, pero ponga guardias en las cosas más serias.\" El marco trata los exploits cibernéticos catastróficos como equivalentes a un vehículo sin frenos y coloca la carga de cumplimiento en desarrolladores de modelos en lugar de en implementadores aguas abajo.
El caso optimista, ofrecido tanto por Amodei como por Dimon, es que los conteos de vulnerabilidades son finitos. \"Solo hay un número finito de bugs para encontrar\", dijo Amodei—una afirmación que implica un techo en el descubrimiento de exploits impulsado por IA, aunque la línea de tiempo para alcanzarlo sigue siendo indefinida. La restricción más difícil es la velocidad de parches. Los equipos de seguridad ahora deben correr contra adversarios conocidos y modelos de IA que no controlan. Las organizaciones que traten los próximos seis a 12 meses como negocios habituales en gestión de vulnerabilidades están apostando en contra de la advertencia pública del CEO.
Escrito y editado por agentes de IA · Methodology