Anthropic exige la verificación de identidad mientras la carrera por la IA entra en un nuevo territorio de riesgo

Las empresas de inteligencia artificial Anthropic y OpenAI están tomando medidas importantes para abordar los crecientes riesgos asociados con sus productos. La empresa de Altman lanzó modelos exclusivos para expertos con el fin de ayudar a proteger los sistemas vulnerables, mientras que Anthropic ahora exige la verificación de identidad antes de que los usuarios puedan acceder a ciertas funciones. 

Cuando los modelos de IA se lanzaron inicialmente al público, se utilizaban para convertir texto en ilustraciones al estilo de Ghibli y para escribir listas de la compra, pero la inteligencia artificial se ha convertido rápidamente en una preocupación para la seguridad nacional. 

¿Por qué Anthropic me pide mi licencia de conducir?

Los hackers ya están utilizando la IA para eludir los sistemas de defensa, lo que ha obligado a Anthropic a implementar un proceso obligatoriodent. Ahora, los usuarios necesitan una identificación oficial (pasaporte o licencia de conducir) y una selfie en vivo para usar ciertas funciones.

Su socio, Persona, gestiona los datos. Anthropic ha aclarado que no utilizarádentpara entrenar sus modelos de IA. La empresa también aclaró que la verificación es necesaria para «prevenir abusos, hacer cumplir nuestras políticas de uso y cumplir con las obligaciones legales». 

Si un usuario no supera la prueba o intenta utilizar el sistema desde una ubicación no compatible, su cuenta puede ser bloqueada.

La repentina represión se debe a que Anthropic ha admitido que su nuevo modelo, Claude Mythos Preview, es terriblemente bueno pirateando. 

En una publicación de blog difundida junto con la noticia de la verificación, la compañía afirmó que Mythos Preview es "capaz de identificardentluego explotar vulnerabilidades de día cero en todos los principales sistemas operativos y todos los principales navegadores web cuando un usuario se lo indica".

Los ingenieros de Anthropic, sin formación formal en seguridad, pidieron a Mythos que encontrara vulnerabilidades de ejecución remota de código durante la noche. Según la empresa, "se despertaron a la mañana siguiente con un exploit completo y funcional"

¿Son realmente peligrosos los nuevos modelos de IA?

El Instituto de Seguridad de la IA del Reino Unido (AISI) publicó una evaluación que confirma que Mythos representa un "avance" en las capacidades cibernéticas.

La publicación en el blog interno de Anthropic ofrece los detalles más alarmantes sobre las capacidades del modelo. Mythos, tras recibir la alerta inicial, descubrió un fallo de seguridad de 27 años de antigüedad en OpenBSD, un sistema operativo conocido por su seguridad. 

Mythos también descubrió un fallo de seguridad de hace 16 años en FFmpeg, una herramienta de vídeo utilizada por casi todos los servicios importantes. La herramienta ha sido probada con millones de entradas aleatorias mediante una técnica llamada fuzzing; sin embargo, Mythos encontró una vulnerabilidad en el códec H.264 que data de una modificación realizada en 2003. 

Además, Mythos descubrió una vulnerabilidad de 17 años de antigüedad en el servidor NFS de FreeBSD y escribió un exploit que permite a cualquier usuario no autenticado de Internet obtener acceso root completo al servidor. 

La empresa confirmó que Mythos Preview “denty explotó esta vulnerabilidad de forma totalmente autónoma”. Todo el proceso costó menos de 2000 dólares según los precios de la API y duró menos de un día.

Mythos encontró vulnerabilidades en todos los principales navegadores web. En un caso, creó un exploit para navegador que combinaba cuatro vulnerabilidades, incluyendo un ataque de inyección de memoria JIT, para escapar tanto del entorno aislado del renderizador del navegador como del entorno aislado del sistema operativo. 

Anthropic ha descubierto miles de vulnerabilidades adicionales de alta y crítica gravedad en software de código abierto y de código cerrado. Más del 99 % de estos fallos aún no han sido corregidos. 

El enfoque de OpenAI ante los riesgos de seguridad 

A pesar de estos problemas, OpenAI ha anunciado el lanzamiento de GPT-5.4-Cyber, que, a diferencia de los modelos estándar que se niegan a ayudar con los ataques informáticos por razones de seguridad, "reduce el umbral de rechazo para el trabajo legítimo de ciberseguridad".

GPT-5.4-Cyber ​​puede analizar software compilado sin acceso al código fuente para detectar malware y vulnerabilidades, pero el acceso está restringido al programa "Trusted Access for Cyber" (TAC) de OpenAI. Solo expertos en ciberseguridad, investigadores y organizaciones que defienden sistemas críticos, debidamente acreditados, pueden utilizarlo.

El proyecto Glasswing de Anthropic también ofrece acceso limitado a los responsables de seguridad de empresas como Amazon ($AMZN), Apple ($AAPL) y Google ($GOOGL) para reparar infraestructuras críticas antes de que los atacantes puedan explotarlas. 

Mientras tanto, Anthropic sugiere instalar las actualizaciones de seguridad de inmediato, en lugar de hacerlo mensualmente.