Anthropic ha desarrollado un modelo de IA que encuentra vulnerabilidades críticas de software que pasaron desapercibidas durante 27 años, creando un riesgo sistémico significativo para el ecosistema de las finanzas descentralizadas (DeFi) de 200.000 millones de dólares.
La empresa señaló que "las mitigaciones cuyo valor de seguridad proviene principalmente de la fricción en lugar de barreras sólidas pueden volverse considerablemente más débiles contra adversarios asistidos por modelos".
El modelo, Claude Mythos Preview, encontró un error de 27 años en el sistema operativo OpenBSD centrado en la seguridad por menos de 50 $ en costes de computación y creó un ataque de Linux funcional a partir de una vulnerabilidad conocida en menos de un día por menos de 2.000 $.
El descubrimiento de fallos en bibliotecas de criptografía centrales como TLS y SSH amenaza directamente la base de código abierto de los protocolos DeFi en Ethereum y Solana, lo que sugiere que las defensas como las auditorías y los monederos multifirma pueden ser insuficientes contra los ataques impulsados por IA.
Una nueva clase de amenaza automatizada
Claude Mythos Preview ha demostrado una capacidad que supera las herramientas automatizadas existentes y, en algunos casos, décadas de investigación humana en seguridad. Descubrió un fallo de 16 años en el software de vídeo FFmpeg, ampliamente utilizado, que había sido escaneado cinco millones de veces por otras herramientas sin ser detectado. Esto contrasta fuertemente con amenazas teóricas como la computación cuántica, ya que el modelo Mythos ya está operativo. Su capacidad para encontrar rápidamente y convertir en armas los fallos del software que protege los fondos de los usuarios presenta un riesgo inmediato y tangible.
Defensas basadas en la fricción bajo ataque
La amenaza es particularmente aguda para el sector DeFi, donde el código del protocolo es de código abierto y legible por cualquier persona, incluida una IA que opera a velocidad de máquina. Los aproximadamente 200.000 millones de dólares bloqueados en contratos inteligentes han sido examinados por auditorías humanas y escáneres automatizados, pero Anthropic afirma que su modelo opera más allá de las capacidades de ambos. Esto desafía la efectividad de las medidas de seguridad comunes en las criptomonedas, como requerir múltiples firmas para las transacciones (multisig), imponer retrasos de tiempo (timelocks) y confiar en los informes de auditoría como prueba de seguridad. Estas defensas "basadas en la fricción" están diseñadas para ralentizar a los atacantes, no para detener una amenaza que puede analizar y explotar el código a un coste marginal casi nulo.
Si bien el mercado DeFi, medido por el índice CoinDesk DeFi Select, ha ganado un 7% por noticias macroeconómicas no relacionadas, este desarrollo introduce un riesgo significativo no valorado. Es posible que los inversores deban reevaluar la seguridad de los protocolos más allá de las auditorías estándar. La divergencia entre los protocolos con seguridad codificada de forma rígida frente a aquellos que dependen de la fricción podría convertirse en un impulsor clave del rendimiento. El modelo está restringido actualmente a 40 empresas, incluidas Google y Microsoft, bajo el 'Project Glasswing', lo que retrasa pero no elimina la amenaza pública.
Este artículo tiene fines informativos únicamente y no constituye asesoramiento de inversión.
