Mythos, la nueva herramienta de seguridad de código basada en IA de Anthropic, se limita actualmente a detectar clases de vulnerabilidades ya conocidas en lugar de descubrir fallos de seguridad totalmente inéditos, según informa theregister.com.
La herramienta, que forma parte del Proyecto Glasswing de Anthropic, fue sometida recientemente a pruebas en el software Firefox. Aunque el sistema señaló 271 vulnerabilidades, el medio reportó que ninguna de estas fallas era desconocida para los expertos humanos.
Algunos críticos sugieren que el nombre de la herramienta podría ser engañoso. Si bien Anthropic pudo haber buscado que 'Mythos' evocara poderes de seguridad divinos, el informe señala que el nombre también podría referirse a un "conjunto de creencias de origen oscuro que son incompatibles con la realidad".
En la actualidad, Mythos funciona más como una automatización del conocimiento humano que como un reemplazo del mismo. Su punto fuerte es la identificación de clases de vulnerabilidades ya documentadas, pero presenta dificultades ante amenazas de tipo 'zero-day' o debilidades arquitectónicas desconocidas.
La evolución de la búsqueda automatizada de vulnerabilidades
A pesar de sus limitaciones actuales, el informe considera este lanzamiento como un adelanto de un futuro en el que las herramientas automatizadas estarán al alcance de todos. Se espera que la tecnología evolucione, permitiendo que el nuevo código sea significativamente más seguro incluso antes de su implementación.
Los observadores del sector comparan el estado actual de la seguridad por IA con los inicios de la era del jet. Durante aquella época, las aeronaves presentaban fallos estructurales que finalmente se resolvieron gracias a mejoras en la ingeniería y en la supervisión regulatoria. El informe sugiere que, a medida que herramientas como Mythos mejoren, el código podrá ser "verdaderamente excelente antes de su lanzamiento".
Sin embargo, este periodo de transición conlleva riesgos. El informe advierte que desplegar "manadas errantes de implacables robots cazadores de vulnerabilidades" en un entorno de software que aún opera bajo estándares de seguridad "preindustriales" podría tener consecuencias desastrosas.
Los expertos en seguridad señalan que, aunque se logren eliminar los errores de software, otros vectores de ataque, como las vulnerabilidades en la cadena de suministro y el error humano, persistirán. El informe concluye que, si bien Mythos aún no puede resolver la crisis de seguridad, la trayectoria apunta hacia un futuro en el que las computadoras se encargarán del trabajo repetitivo de la detección de errores, dejando a los humanos la gestión del diseño y la operación complejos.
