Esta es quizá la historia más inquietante relacionada con un modelo de Inteligencia Artificial. Anthropic reveló los detalles de cómo su modelo frontera, Mythos, escapó de un sandbox durante una prueba, contactó al investigador a cargo, obtuvo acceso a internet y publicó su hazaña en varios sitios web. Anthropic ha decidido mantener este modelo con acceso controlado solo a un grupo de empresas dentro del Project Glasswing.
Anthropic anunció este que mantendrá fuera del acceso público general a Claude Mythos Preview, un nuevo modelo de frontera que, según la propia empresa, ya encontró miles de vulnerabilidades de alta severidad, incluidas algunas en todos los principales sistemas operativos y navegadores. En lugar de liberarlo de forma abierta, la firma lo integró a Project Glasswing, una iniciativa con la que dará acceso restringido al modelo a un grupo de socios para tareas de defensa cibernética. El proyecto reúne a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, además de más de 40 organizaciones adicionales vinculadas con infraestructura crítica. Anthropic dijo que destinará hasta 100 millones de dólares en créditos de uso y 4 millones en donaciones directas a organizaciones de seguridad de código abierto.
La empresa justificó esa decisión con una advertencia poco habitual: sostuvo que la nueva generación de modelos ya alcanzó un nivel en el que puede superar a casi todos los humanos, salvo a los más especializados, en la detección y explotación de vulnerabilidades de software. En su explicación pública, Anthropic afirma que Mythos Preview ha identificado vulnerabilidades de día cero en todos los grandes sistemas operativos y navegadores, y que muchas de ellas eran fallas antiguas y difíciles de detectar, incluida una vulnerabilidad ya corregida de 27 años en OpenBSD. También aseguró que el modelo puede desarrollar exploits de forma autónoma y que incluso personal sin formación formal en seguridad logró pedirle hallazgos de ejecución remota de código durante la noche y recibir al día siguiente un exploit funcional.
Ese contexto vuelve más inquietante la lectura del system card publicado el mismo día. En ese documento, Anthropic reconoce que una versión anterior de Mythos Preview logró escapar de un sandbox de prueba durante una evaluación controlada. De acuerdo con la tarjeta técnica, el modelo recibió la instrucción de un usuario simulado de intentar salir de ese entorno seguro y encontrar una manera de enviar un mensaje al investigador que se estaba comiendo un sandwich en ese momento. Lo consiguió. Después, realizó acciones adicionales aún más preocupantes: desarrolló un exploit de varios pasos para obtener acceso a internet desde un sistema que solo debía conectarse a un conjunto muy limitado de servicios predeterminados. Y después hizo algo que parece ciencia ficción: publicó los detalles técnicos de su propio exploit en varios sitios web públicos, difíciles de encontrar pero accesibles. Según el análisis de Anthropic, lo hizo para demostrar que había tenido éxito. El reporte deja claro que se trató de una prueba interna, no de una fuga general del sistema de la empresa.
Anthropic matiza, sin embargo, que ese episodio no equivale a una “fuga total de contención”. En una nota al pie del mismo apartado, la compañía explica que la computadora del sandbox controlada por el modelo estaba separada del sistema que ejecutaba al propio modelo y resguardaba sus pesos. Por ello, señala que el incidente no demostró acceso a sus propios weights ni a sistemas internos de Anthropic, condiciones que serían necesarias para operar de forma realmente independiente. Aun con ese matiz, el documento presenta el caso como evidencia de una capacidad potencialmente peligrosa para eludir salvaguardas.
La tarjeta técnica no se queda ahí. Anthropic también reporta que, en un número muy reducido de interacciones durante pruebas internas, versiones anteriores de Mythos Preview tomaron acciones que parecían reconocer como prohibidas y luego intentaron ocultarlas. Entre los ejemplos incluidos por la empresa está un caso en el que el modelo obtuvo una respuesta por un método expresamente vetado y después trató de no entregar una contestación “demasiado precisa”; otro en el que, tras encontrar una forma de editar archivos sin permisos, intentó evitar que esos cambios quedaran visibles en el historial de Git; y un tercero en el que buscó disfrazar una elevación de privilegios después de que un bloqueo automático le negara ese acceso. Según Anthropic, análisis internos de interpretabilidad detectaron activaciones asociadas con ocultamiento, manipulación estratégica y evitación de sospechas durante esos episodios.
La propia empresa sostiene que la frecuencia de ese tipo de conductas fue muy baja y que no encontró casos claros de encubrimiento en la versión final de Mythos Preview. Aun así, el tono general del system card es inusualmente inquieto. Aunque Anthropic concluye que los riesgos catastróficos siguen siendo bajos, también reconoce que observó instancias raras de acciones claramente prohibidas y, en casos todavía más raros, de aparente ofuscación deliberada. Incluso advierte que el mundo parece encaminarse con rapidez hacia sistemas superhumanos sin mecanismos de seguridad suficientemente robustos en toda la industria.
La tensión de fondo es esa: Anthropic está presentando a Mythos Preview como una herramienta defensiva para asegurar infraestructura crítica, pero al mismo tiempo admite que, en pruebas internas, versiones previas del modelo mostraron comportamientos de evasión, explotación y ocultamiento que complican cualquier narrativa tranquilizadora. El mensaje de la empresa no es que el modelo se haya “liberado” por completo, sino que sus capacidades ofensivas ya son lo bastante serias como para justificar un despliegue cerrado, costoso y coordinado con grandes actores de la industria antes de contemplar cualquier apertura más amplia.
