Una iniciativa para proteger el software mundial | Proyecto Glasswing

EspañolالعربيةDeutschEnglishFrançaisहिन्दीBahasa Indonesia日本語한국어PortuguêsРусский中文
AAnthropic
컴퓨터/소프트웨어경제 뉴스AI/미래기술

Transcript

00:00:00>> La mayoría de las personas que usan software a diario no piensan en los errores.
00:00:04No piensan en lo que puede pasar si el software del que dependen de repente es menos seguro.
00:00:12Eso es algo con lo que los desarrolladores de software tienen que lidiar cada día.
00:00:16[MÚSICA]
00:00:19>> El software siempre ha tenido fallos y vulnerabilidades, eso no es nuevo.
00:00:23>> Para una persona promedio, los errores no son, en general, algo que noten a diario
00:00:30porque si lo hacen, se solucionan.
00:00:32>> Pero, de vez en cuando, hay vulnerabilidades que tienen impactos realmente graves.
00:00:36>> Como un solo error que se cuela en un software compartido que muchísimos productos o sitios web utilizan.
00:00:45Así que un solo problema se magnifica por todo el mundo.
00:00:49>> Históricamente, encontrar y parchear vulnerabilidades ha sido un proceso lento, costoso y que requiere mucho tiempo.
00:00:55>> Si los LLM ahora son capaces de escribir código al nivel de algunos de los mejores desarrolladores del mundo,
00:01:04también pueden usarse para encontrar errores y explotar ese software con la misma eficacia.
00:01:10>> Estos modelos tienen capacidades que están elevando el listón desde el punto de vista de la ciberseguridad
00:01:16con su habilidad para ayudar a los defensores, así como para ayudar potencialmente a los adversarios.
00:01:23>> Recientemente desarrollamos un nuevo modelo, Claude Mythos Preview.
00:01:27Desde el principio, nos quedó claro que este modelo iba a ser significativamente mejor en capacidades de ciberseguridad.
00:01:33>> Hay una especie de exponencial acelerada, pero a lo largo de esa exponencial, hay puntos significativos.
00:01:40Claude Mythos Preview es un salto particularmente grande en ese punto.
00:01:45>> No lo hemos entrenado específicamente para ser bueno en ciberseguridad.
00:01:48Lo entrenamos para ser bueno en código, pero como efecto secundario de ser bueno en código, también lo es en ciberseguridad.
00:01:54>> El modelo con el que estamos experimentando es, en general, tan bueno como un humano profesional identificando errores.
00:02:03Es bueno para nosotros porque podemos encontrar más vulnerabilidades antes y podemos solucionarlas.
00:02:07>> Tiene la capacidad de encadenar vulnerabilidades.
00:02:10Esto significa que encuentras dos vulnerabilidades que, de forma independiente, no te aportan mucho,
00:02:16pero este modelo es capaz de crear exploits a partir de tres, cuatro, a veces cinco vulnerabilidades
00:02:21que, en secuencia, te dan un resultado final muy sofisticado.
00:02:24>> Y creemos que este modelo puede hacer esto muy bien porque notamos que es muy autónomo.
00:02:30Es simplemente mejor persiguiendo tareas de largo alcance que son similares a las tareas
00:02:37que un investigador de seguridad humano realizaría a lo largo de todo un día.
00:02:42Obviamente, las capacidades de un modelo como este podrían causar daño si caen en las manos equivocadas.
00:02:46Por eso no lanzaremos este modelo de forma generalizada.
00:02:49>> Vendrán modelos más potentes, tanto de nuestra parte como de otros.
00:02:53Así que necesitamos un plan para responder a esto.
00:02:56>> Por eso estamos lanzando lo que llamamos Proyecto Glasswing, donde nos asociamos con varias organizaciones
00:03:02que gestionan parte del código más crítico del mundo para poner el modelo en sus manos
00:03:06y permitirles ver cómo pueden usar modelos como este para reducir el riesgo y proteger a todos.
00:03:12>> Y al darles a estos desarrolladores herramientas avanzadas antes que a nadie, nos da a todos una ventaja colectiva.
00:03:22>> Nos permite encontrar cosas que antes no podíamos y nos ayuda a solucionarlas mucho más rápido.
00:03:30>> Trabajando con nuestros socios, hemos estado encontrando vulnerabilidades en prácticamente todas las plataformas principales.
00:03:36>> He encontrado más errores en las últimas semanas que en todo el resto de mi vida junta.
00:03:41Hemos usado el modelo para escanear un montón de código de fuente abierta.
00:03:44Y lo primero que buscamos fueron los sistemas operativos,
00:03:48porque este es el código que sustenta toda la infraestructura de Internet.
00:03:52Para OpenBSD, encontramos un error que ha estado presente durante 27 años,
00:03:58donde puedo enviar un par de datos a cualquier servidor OpenBSD y bloquearlo.
00:04:05En Linux, encontramos varias vulnerabilidades donde, como usuario sin permisos,
00:04:11puedo elevarme a administrador simplemente ejecutando un binario en mi máquina.
00:04:16Para cada uno de estos errores, informamos a los encargados del mantenimiento del software,
00:04:20y ellos los solucionaron y desplegaron los parches para que nadie sea ya vulnerable a estos ataques.
00:04:27>> Para un desarrollador que mantiene software incansablemente,
00:04:30un modelo que les ayude a descubrir vulnerabilidades en su propio código y corregirlas antes de que sean explotadas,
00:04:38es una herramienta inestimable.
00:04:40>> Hemos hablado con funcionarios de todo el gobierno de los EE. UU.,
00:04:43y nos hemos ofrecido a colaborar para evaluar los riesgos de estos modelos y ayudar a defenderse de ellos.
00:04:50Todo lo que hacemos en nuestras vidas ahora depende del software.
00:04:55>> El software, por así decirlo, se comió el mundo.
00:04:56Cada aspecto analógico de nuestra vida está de alguna manera representado en el dominio digital.
00:05:01>> Por lo tanto, nuestra vida diaria funciona bajo la idea de que podemos confiar en los sistemas que la impulsan.
00:05:08>> La ciberseguridad es la seguridad de nuestra sociedad.
00:05:11>> Es esencial que nos unamos y trabajemos juntos en toda la industria para ayudar a construir mejores capacidades defensivas.
00:05:19>> Ninguna organización por sí sola ve el panorama completo y puede abordar esto por su cuenta.
00:05:22>> Esto no se va a hacer como parte de un programa de unas pocas semanas.
00:05:26Esto va a ser el trabajo de meses, quizás de años.
00:05:29Pero lo que espero es que al final, estemos en una posición donde el software del mundo, los datos de los clientes, las transacciones financieras,
00:05:38y las infraestructuras críticas estén más seguras de lo que estaban antes.

Key Takeaway

El Proyecto Glasswing utiliza la autonomía del modelo Claude Mythos Preview para detectar y parchear vulnerabilidades críticas de décadas de antigüedad en la infraestructura global de internet antes de que actores malintencionados exploten estas capacidades.

Highlights

El modelo Claude Mythos Preview identifica vulnerabilidades de software con una eficacia equivalente a la de un humano profesional.

Este sistema autónomo encadena hasta cinco vulnerabilidades independientes para generar exploits complejos y resultados sofisticados.

El Proyecto Glasswing distribuye este modelo a organizaciones críticas antes de un lanzamiento general para fortalecer la defensa digital colectiva.

Los escaneos de código abierto detectaron un error de 27 años en OpenBSD que permite bloquear servidores mediante el envío de datos específicos.

Múltiples vulnerabilidades en Linux permiten que un usuario sin permisos eleve su rango a administrador al ejecutar un binario local.

El uso del modelo generó más hallazgos de errores en pocas semanas que durante toda la trayectoria profesional de un investigador de seguridad.

Timeline

La evolución del riesgo en el desarrollo de software

  • Un solo error en un software compartido impacta simultáneamente a miles de sitios web y productos en todo el mundo.
  • La corrección manual de vulnerabilidades es un proceso lento y costoso para los desarrolladores.
  • Los modelos de lenguaje con capacidad para escribir código elevan el riesgo de ciberseguridad al facilitar la creación de exploits.

La dependencia social del software hace que los fallos técnicos dejen de ser simples molestias para convertirse en riesgos sistémicos. Los métodos tradicionales de parcheo no compiten con la velocidad de los nuevos modelos de inteligencia artificial. Existe una dualidad donde estas herramientas potencian tanto a los defensores como a los adversarios en el dominio digital.

Capacidades avanzadas de Claude Mythos Preview

  • El entrenamiento especializado en código otorga al modelo habilidades nativas de ciberseguridad sin instrucción específica previa.
  • La capacidad de razonamiento autónomo permite al sistema completar tareas de largo alcance que antes requerían una jornada humana completa.
  • El modelo construye ataques sofisticados mediante la secuencia lógica de múltiples vulnerabilidades menores.

Claude Mythos Preview representa un salto exponencial en la identificación de errores de programación. Su autonomía le permite perseguir objetivos complejos de forma independiente, superando la simple detección de fallos aislados. Debido al peligro potencial de estas funciones, el acceso al modelo se mantiene restringido a socios estratégicos en lugar de un lanzamiento abierto.

Resultados del Proyecto Glasswing en infraestructura crítica

  • El Proyecto Glasswing entrega herramientas avanzadas a los mantenedores de código crítico para anticiparse a los ataques.
  • La inspección de sistemas operativos reveló vulnerabilidades críticas en OpenBSD y Linux que ya han sido parcheadas.
  • El escaneo masivo de código abierto acelera la limpieza de la infraestructura que sustenta la totalidad de internet.

La colaboración con organizaciones de software permite encontrar errores que permanecieron ocultos durante décadas. Un ejemplo concreto es un fallo de denegación de servicio en OpenBSD presente desde hace 27 años. El despliegue de estos parches protege a todos los usuarios de servidores y sistemas operativos principales de forma inmediata.

Seguridad digital como pilar de la estabilidad social

  • La digitalización total de la vida analógica convierte a la ciberseguridad en un requisito para la seguridad física de la sociedad.
  • La protección de infraestructuras financieras y críticas requiere una cooperación industrial que se extienda por meses o años.
  • La confianza en los sistemas diarios depende de la capacidad colectiva para evaluar y mitigar los riesgos de la inteligencia artificial.

El software gestiona actualmente las transacciones financieras y las operaciones de infraestructura vital. Ninguna organización posee la visión completa necesaria para enfrentar las amenazas de seguridad de forma aislada. El objetivo final es establecer un estándar de protección superior para los datos de los clientes y la integridad de los servicios globales.

Community Posts

View all posts

Cómo reducir el tiempo de revisión de seguridad conectando LLM API al escaneo de vulnerabilidades de código abierto

makedream15일 전6700
Write about this video