El Gobierno de Estados Unidos ha ordenado a Anthropic que suspenda sus modelos más recientes, Claude Fable 5 y Mythos 5, por temor a que sean objeto de uso indebido por parte de adversarios.
Según informa Reuters, Anthropic ha anunciado que «desactivará de forma repentina» sus modelos de IA más avanzados para todos los usuarios, después de que el Gobierno de EE. UU. le ordenara suspender el acceso a dichos modelos para los ciudadanos extranjeros, alegando motivos de seguridad nacional.
Según se informa, las autoridades consideran que una fuga de datos podría convertir a Fable 5 y Mythos 5 en herramientas de detección de vulnerabilidades para los adversarios, por lo que Anthropic afirma que va a desactivarlas en todo el mundo en lugar de intentar filtrar el acceso por nacionalidad, ya que es prácticamente imposible verificar la nacionalidad de cada usuario.
En un comunicado publicado en su página web, Anthropic afirma:
«La carta no ofrecía detalles concretos sobre el motivo de preocupación en materia de seguridad nacional. Según tenemos entendido, el Gobierno cree haber tenido conocimiento de un método para eludir, o «desbloquear», el Fable 5. Hemos analizado una demostración de esta técnica concreta, utilizada para identificar un pequeño número de vulnerabilidades menores ya conocidas. Todas estas vulnerabilidades parecen relativamente sencillas, y hemos comprobado que otros modelos disponibles públicamente también son capaces de detectarlas sin necesidad de eludir el sistema».
Mythos 5 es la versión completa no comercial, que actualmente solo utilizan organismos gubernamentales y determinadas empresas colaboradoras para reforzar la seguridad de sus sistemas. Fable 5 es un modelo de la clase Mythos que, en teoría, debería ser apto para el uso general.
Me parece lógico que, si Fable 5 es fácil de «jailbreak», debería estar sujeto a las mismas restricciones que Mythos 5. Sin embargo, Anthropic sostiene que cuenta con medidas de seguridad integradas que hacen que las consultas sobre ciertos temas reciban, en su lugar, una respuesta del siguiente modelo más avanzado, Claude Opus 4.8.
La relación entre el Gobierno de Estados Unidos y Anthropic había dado muestras de distensión en algunos sectores del Gobierno tras las tensiones surgidas en torno al uso militar, la vigilancia y las armas autónomas. En marzo, el secretario de Defensa, Pete Hegseth, calificó a la empresa con sede en San Francisco de «riesgo para la seguridad nacional en la cadena de suministro».
Para comprender la naturaleza del argumento, es necesario tener en cuenta que Mythos 5 se describe en múltiples informes como una herramienta especialmente eficaz para identificar vulnerabilidades de software, incluidos errores de larga data en sistemas complejos y heredados, como los del sector bancario y otras infraestructuras críticas. Muchos consideran que se trata de una herramienta de doble uso: excelente para reforzar la defensa, pero catastrófica en manos equivocadas.
En las últimas actualizaciones de los principales proveedores de software, como Microsoft y Google, hemos observado un aumento en el número de vulnerabilidades corregidas desde que estos comenzaron a utilizar búsquedas guiadas por IA para detectar nuevas vulnerabilidades en su propio software. También sabemos que Mozilla detectó más de270 vulnerabilidades en Firefoxcon la ayuda del nuevo modelo Claude Mythos de Anthropic.
Qué significa esto
En manos equivocadas, estas vulnerabilidades podrían causar sin duda mucho daño. Por lo tanto, parece que pasará algún tiempo antes de que los usuarios particulares y los desarrolladores puedan acceder plenamente a Fable 5 y Mythos 5. No obstante, los modelos actuales de Anthropic (las variantes anteriores de Claude) siguen estando disponibles.
Para los usuarios particulares que simplemente charlaban con Claude o lo utilizaban para tareas básicas de programación, el cambio se traducirá principalmente en un mensaje del tipo «esta versión concreta no está disponible», en lugar de un corte generalizado del servicio de IA.
Retirar de la circulación general un modelo de detección de vulnerabilidades de alta gama solo aumenta hasta cierto punto el esfuerzo que deben realizar los ciberdelincuentes con menos recursos para automatizar la detección de fallos complejos en el software y los servicios destinados al consumidor. En el mercado negro existen otros modelos que podrían resultar igual de eficaces. Y para la mayoría de los ciberdelincuentes, convertir una vulnerabilidad en un método que puedan utilizar en un ataque es mucho más relevante.
No nos limitamos a informar de las amenazas: las eliminamos
Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.
