Un puñado de usuarios logró obtener acceso no autorizado a Claude Mythos de Anthropic, el modelo que, según la compañía, es tan peligroso que causaría una ola de ciberataques devastadores si se hiciera público.
La infracción se produjo el 8 de abril, el mismo día en que Anthropic y su director ejecutivo, Dario Amodei, revelaron que Mythos solo estaba disponible para unos 40 clientes empresariales cuidadosamente seleccionados en el marco del “Proyecto Glasswing”.
Anthropic dijo que Mythos descubrió importantes vulnerabilidades de ciberseguridad en “todos los principales sistemas operativos y navegadores web” durante las pruebas internas.
Los usuarios no autorizados pertenecen a un foro privado en línea dedicado a piratear modelos de IA nunca antes vistos en Discord, una popular aplicación de mensajería.
Desde que obtuvieron acceso, han utilizado Mythos “regularmente”, pero no con fines de ciberseguridad. según Bloombergquien obtuvo capturas de pantalla y vio una demostración en vivo de los usuarios accediendo al modelo.
Los detectives irrumpieron en Mythos mediante una variedad de tácticas, incluida adivinar la dirección en línea del modelo basándose en las convenciones de nomenclatura utilizadas por Anthropic en versiones anteriores del modelo, según el informe.
Uno de los usuarios no autorizados supuestamente tenía cierto nivel de acceso a los sistemas de Anthropic debido a su trabajo como contratista externo de la empresa.
“Estamos investigando un informe de acceso no autorizado a Claude Mythos Preview a través de uno de nuestros entornos de proveedores externos”, dijo un portavoz de Anthropic en un comunicado.
La compañía agregó que no tenía evidencia de que el acceso no autorizado del grupo se extendiera más allá del entorno del proveedor externo o afectara a cualquiera de sus otros sistemas.
Una persona del grupo Discord (cuyos miembros no fueron nombrados) le dijo a Bloomberg que querían probar nuevos modelos en lugar de usarlos para sembrar el caos.
Aún así, el incidente genera preocupaciones sobre la capacidad de Anthropic para mantener la supervisión de una herramienta que temen podría usarse para causar estragos en infraestructuras críticas como redes eléctricas, plantas de energía y hospitales si cayera en las manos equivocadas.
A principios de este mes, el investigador de seguridad de IA, Roman Yampolskiy, dijo al Post que algunas “fugas” del modelo eran inevitables a pesar de los intentos de Anthropic de restringir el acceso.
Anthropic dijo que compartió Mythos con empresas asociadas, incluidas Amazon, Google, Apple, Nvidia, CrowdStrike y JPMorgan Chase, para que puedan abordar sus propias vulnerabilidades de ciberseguridad.
Antes de su implementación, Mythos surgió de una “zona de pruebas” segura destinada a restringir el acceso a Internet; un investigador sólo lo descubrió “al recibir un correo electrónico inesperado de la modelo mientras comía un sándwich en un parque”. antrópico describió el incidente de alto perfil como “demostración de peligro potencial” capacidad por eludir nuestras garantías.
El secretario del Tesoro, Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, celebraron recientemente una reunión a puerta cerrada en la que instaron a los altos funcionarios bancarios a garantizar que sus sistemas estuvieran preparados para hacer frente a los riesgos supuestamente planteados por Mythos.
