Anthropic está revisando sus reglas de divulgación para el Proyecto Glasswing, permitiendo que los socios que utilizan su modelo de ciberseguridad Mythos compartan hallazgos de vulnerabilidades con partes externas en lugar de mantener la información dentro del programa, dijo la compañía.
Según Reuters, los términos revisados —comunicados a los socios a partir de la semana pasada— permiten la divulgación de la participación en Glasswing y permiten a las organizaciones compartir, a su discreción, cualquier hallazgo, herramienta, mejores prácticas o código que surgiera del programa con una amplia gama de partes externas, desde reguladores y grupos de la industria hasta mantenedores de código abierto y el público en general, siempre que se observen estándares de divulgación responsable.
La política anterior requería que los socios mantuvieran los hallazgos dentro del programa. Las organizaciones participantes habían presionado por las disposiciones de confidencialidad, dijo Anthropic, citando preocupaciones sobre la exposición de hallazgos sensibles y temores de que hacer pública su participación pudiera convertirlas en objetivos para atacantes. "A medida que el programa ha madurado, las hemos adaptado para asegurar que la información clave se pueda compartir ampliamente, incluso fuera del programa, para lograr un impacto defensivo máximo", dijo un portavoz de Anthropic.
El cambio se produjo en medio de la presión de legisladores y otros que argumentaban que restringir el acceso a hallazgos de vulnerabilidades podría perjudicar a organizaciones más pequeñas. Una carta enviada el lunes al presidente ejecutivo de Anthropic, Dario Amodei, por el Representante Josh Gottheimer (D., N.J.) —copresidente de una comisión de IA de la Cámara de Representantes— argumentaba que "ninguna entidad debería estar contractualmente restringida de advertir a otros, coordinar mitigaciones o informar a las partes interesadas relevantes y de confianza sobre riesgos cibernéticos urgentes", cuyo texto fue revisado por The Wall Street Journal. Gottheimer también animó a los competidores de Anthropic, incluyendo OpenAI, a adoptar un enfoque similar.
El Proyecto Glasswing, lanzado en abril, brinda acceso a Mythos para fines de ciberseguridad defensiva a unas 50 grandes empresas y organizaciones que gestionan infraestructuras digitales críticas. Los socios nombrados incluyen Amazon $AMZN Web Services, Apple $AAPL, Google $GOOGL, Microsoft $MSFT, Nvidia $NVDA, Cisco $CSCO y JPMorgan $JPM. La divulgación ya ha comenzado a fluir de algunos participantes: tanto Palo Alto Networks $PANW como Mozilla han acreditado públicamente a Mythos con la detección de vulnerabilidades de software en un volumen que dijeron no habría sido alcanzable a través de sus procesos estándar, informó The Wall Street Journal.
Mythos ha identificado miles de vulnerabilidades de día cero en sistemas operativos y navegadores importantes durante pruebas internas, y puede desarrollar exploits funcionales contra esas fallas en el primer intento en más del 83% de los casos, según ha dicho Anthropic. La magnitud de lo que el modelo ha descubierto llevó al Secretario del Tesoro Scott Bessent y al Presidente de la Reserva Federal Jerome Powell a convocar una reunión con los CEO de bancos para discutir los riesgos de ciberseguridad. Como Quartz ha informado previamente, los bancos de EE. UU. con acceso a Mythos han estado trabajando para abordar una ola de vulnerabilidades que el modelo detectó, con hallazgos que también se comparten con bancos comunitarios y regionales que carecen de acceso directo al programa.
Incluso bajo las reglas relajadas, los socios siguen estando sujetos a convenciones de divulgación responsable, lo que significa que cualquier intercambio debe considerar plazos adecuados de parcheo y evitar la divulgación de detalles que podrían ser utilizados con fines malintencionados, The Next Web noted.
