La NSA de EE. UU. prueba el modelo Anthropic Mythos para encontrar vulnerabilidades en productos de Microsoft

La NSA estadounidense está probando un nuevo modelo de inteligencia artificial llamado Mythos de Anthropic para encontrar vulnerabilidades en software popular, incluyendo productos Microsoft. Esta es una de las señales más notables de que los modelos generativos están comenzando a utilizarse no solo para escribir código, sino también para auditorías de seguridad a nivel de grandes estructuras gubernamentales.

Lo que se conoce ahora

Según la información disponible, la Agencia Nacional de Seguridad de Estados Unidos está verificando qué tan bien el modelo de Anthropic puede encontrar debilidades en software ampliamente utilizado. Los productos Microsoft se encuentran entre los sistemas que se han convertido en el foco de tales pruebas. Los detalles del proyecto aún no se han revelado: no está claro si se trata de un piloto interno, una evaluación única de las capacidades del modelo o un proceso más amplio que podría convertirse en parte de la práctica continua.

Tampoco hay datos disponibles públicamente sobre qué clases específicas de errores está buscando el sistema. También es importante comprender quién exactamente está encargando tales verificaciones. Si la NSA está realizando experimentos con IA para la búsqueda de errores, significa que la tecnología se está considerando no como una demostración de laboratorio, sino como una herramienta potencialmente útil para tareas reales de ciberseguridad.

Para el mercado, esta es una señal fuerte: las grandes organizaciones están dispuestas a verificar si el modelo puede acelerar el trabajo de especialistas en protección de infraestructura y software corporativo. Especialmente donde el costo de un error no detectado es muy alto.

Hay un interés particular en la conexión entre Anthropic, Microsoft y la NSA. Por un lado, se trata de un gran desarrollador de modelos que está impulsando la IA hacia escenarios corporativos y sensibles. Por otro lado, hay un ecosistema de software que sustenta gran parte del trabajo de oficina, nube e infraestructura. Cuando tales actores se reúnen en un caso, esto ya no es un experimento para propósitos de demostración, sino una prueba de valor práctico en un entorno de alto riesgo.

Cómo puede funcionar

En tales escenarios, la IA no reemplaza completamente a un investigador de seguridad, sino que ayuda a procesar rápidamente grandes volúmenes de código, documentación y dependencias del sistema. El modelo puede utilizarse como un asistente que ofrece hipótesis, destaca áreas sospechosas, ayuda a reproducir cadenas de errores e identifica dónde investigar más profundamente. La validación final recae en el ser humano, especialmente cuando se trata de productos críticos. Esto es especialmente importante al trabajar con sistemas antiguos y complejos.

Para Microsoft, tal interés también es indicativo. Sus soluciones están en la base de un enorme número de sistemas corporativos y gubernamentales, por lo que incluso pequeñas vulnerabilidades en productos populares pueden tener un impacto generalizado. Si la IA puede detectar tales problemas antes que los atacantes o los ciclos de auditoría tradicionales, el beneficio será no solo en velocidad, sino también en escala: el mismo modelo puede analizar más componentes en paralelo que un equipo limitado manualmente.

Dónde están los beneficios para la protección

En tales proyectos, los modelos generalmente son valiosos no por una función "mágica", sino por un conjunto de aceleradores para el equipo de seguridad. No reemplazan las auditorías manuales, pero ayudan a reducir rápidamente el alcance de la revisión, establecer prioridades y traducir señales técnicas sin procesar en acciones comprensibles para ingenieros, analistas y propietarios de productos. Tal capa es útil cuando un equipo tiene poco tiempo para la clasificación inicial de señales y demasiados lugares donde pueden ocultarse errores.

• identifican rápidamente secciones de código y lógica potencialmente riesgosas
• ayudan a relacionar síntomas de error con clases conocidas de vulnerabilidades
• sugieren escenarios de verificación para combinaciones raras o complejas de componentes
• reducen el tiempo entre la señal inicial y la reverificación manual
• ayudan a documentar conclusiones en un lenguaje comprensible para desarrolladores y analistas

Al mismo tiempo, hay muchas limitaciones en torno a tales herramientas. El modelo puede marcar erróneamente código seguro como peligroso, perder errores no estándar u ofrecer explicaciones convincentes pero incorrectas. Por lo tanto, la pregunta clave no es si "la IA puede encontrar vulnerabilidades" en general, sino qué tan consistentemente lo hace en productos reales, con un número aceptable de falsos positivos y con beneficios claros para el equipo. Por eso tales sistemas aún no funcionan sin expertos.

Qué significa esto

La historia de Mythos muestra que el próximo paso en la implementación de IA en ciberseguridad no son chatbots de referencia, sino herramientas prácticas para auditar software complejo. Si tales pruebas dan resultado, los grandes proveedores y estructuras gubernamentales comenzarán a integrar modelos más rápidamente en procesos de detección y priorización de vulnerabilidades.