Los hackers pronto tendrán el arma perfecta. Apple y Google han desplegado IA para analizar su propio código y salvar Internet.
Proyecto Glasswing: desarrolladores refuerzan con urgencia los servidores antes de que las IA bélicas conquisten el mundo.
Las mayores empresas de TI decidieron ocupar la defensa de antemano en una nueva fase de ciberguerra, donde las vulnerabilidades en el código comienzan a ser buscadas ya no por personas, sino por modelos de IA muy potentes. Para ello Amazon Web Services, Anthropic, Apple, Google, Microsoft, NVIDIA y varios participantes más lanzaron Project Glasswing – iniciativa, que debe ayudar a proteger el software crítico antes de que herramientas similares lleguen masivamente a manos de los atacantes.
La razón del proyecto es bastante concreta. Las pruebas internas del nuevo modelo de Anthropic llamado Claude Mythos Preview mostraron que sabe encontrar y explotar vulnerabilidades de software a un nivel que ya supera a casi todas las personas, salvo a los especialistas más destacados en este tema. Según la empresa, el modelo ya ha identificado miles de problemas serios en sistemas de uso generalizado, incluidos grandes sistemas operativos y navegadores web. Para la industria esto supone una señal muy preocupante: herramientas de esta clase dejan de ser una teoría lejana y empiezan a influir en la seguridad real.
En Anthropic y las empresas asociadas consideran que ya se ha cruzado un umbral. Si antes estas capacidades parecían algo experimental, ahora se trata de un momento en el que la IA puede reducir drásticamente la barrera de entrada a los ciberataques, aumentar su escala y hacerlos más complejos. La principal inquietud está relacionada con que tales capacidades podrían muy pronto salir del entorno controlado y comenzar a propagarse más ampliamente, incluso entre quienes no piensan usarlas con cautela.
Project Glasswing se basa en una idea bastante directa: emplear las capacidades ofensivas de la IA con fines defensivos. Los participantes del proyecto aplicarán el modelo para buscar puntos débiles, probar sistemas y corregir las fallas encontradas antes de que alguien más las explote. El enfoque está en la búsqueda de vulnerabilidades, las pruebas de penetración, la protección de puntos finales y el refuerzo adicional de los sistemas de software. Asimismo se contempla el intercambio de resultados entre los participantes, para que las conclusiones no permanezcan dentro de una sola empresa y refuercen la protección de todo el sector.
La composición del proyecto es más amplia que la lista de marcas más destacadas en el anuncio. Además de Anthropic, AWS, Apple, Google, Microsoft y NVIDIA, se han sumado Broadcom, Cisco, CrowdStrike, JPMorganChase, Linux Foundation, Palo Alto Networks y otras organizaciones. En total, más de 40 entidades que sostienen infraestructura crítica y software de código abierto se han adherido a la iniciativa. Anthropic prometió destinar hasta 100 millones de dólares en créditos para el uso de sus capacidades.
La lógica es clara: si la IA pronto podrá encontrar vulnerabilidades en sistemas hospitalarios, infraestructuras, recursos gubernamentales y software básico, los defensores tendrán que responder con los mismos medios y con mucha rapidez. De lo contrario, el equilibrio comenzará a inclinarse hacia los atacantes. Teniendo en cuenta que el cibercrimen ya cuesta a la economía mundial cientos de miles de millones de dólares al año, y que los ataques a hospitales, infraestructuras y sistemas estatales siguen en aumento, nadie quiere esperar.
Los participantes del proyecto subrayan de forma separada que una tarea así no puede resolverse por una sola empresa. Se necesitan simultáneamente desarrolladores de modelos avanzados de IA, fabricantes de software, investigadores en seguridad, mantenedores de proyectos abiertos y organismos estatales. Por eso Glasswing se concibió no como un experimento puntual en torno a un único modelo, sino como un intento de coordinar las distintas partes de la industria mientras la ventana para prepararse aún está abierta.
La velocidad aquí juega un papel casi principal. En Anthropic consideran que las capacidades de los modelos avanzados crecerán aún más en los próximos meses. Eso significa que a los defensores les queda poco tiempo para adaptarse antes de que herramientas similares se conviertan en un arma habitual en operaciones ofensivas. Por esta razón, Project Glasswing se presenta no como un programa tranquilo a largo plazo, sino como un intento urgente de incorporar la IA en la defensa antes de que el mercado atacante empiece a utilizar plenamente estos sistemas.
La empresa promete publicar los primeros resultados en el plazo de 90 días. El informe debe incluir información sobre vulnerabilidades corregidas y conclusiones que se puedan divulgar sin perjudicar la seguridad. Paralelamente, el proyecto contempla financiar grupos que trabajan en la seguridad del software de código abierto e interactuar con agencias gubernamentales. En Estados Unidos, las autoridades ya han comenzado a dialogar con Anthropic sobre las consecuencias que puede tener la aparición de tales modelos.