Expertos en ciberseguridad piden al gobierno de EE. UU. levantar la prohibición a Anthropic

Un grupo compuesto por decenas de expertos en ciberseguridad, incluidos varios veteranos reconocidos de la industria, publicó una carta abierta al gobierno de los Estados Unidos solicitando que se levante la orden de control de exportación sobre los modelos Fable y Mythos de Anthropic. Según la carta, "esta acción ha retirado los mejores modelos de los defensores [de ciberseguridad]" quienes ahora no pueden utilizar los modelos para encontrar vulnerabilidades y mejorar la seguridad de su software y productos.

La carta enfatizó: "Retirar las mejores capacidades de los defensores sin una buena razón, mientras nuestros adversarios avanzan rápidamente, es peligroso".

El pasado viernes, el gobierno de EE. UU. ordenó a Anthropic limitar la exportación de Fable y Mythos, citando preocupaciones de seguridad nacional, sin explicar las razones específicas detrás de la orden, según Anthropic. En respuesta, la empresa suspendió el acceso a los modelos para todos los usuarios a nivel mundial.

Hasta el momento, la carta ha sido firmada por 76 expertos en ciberseguridad, entre ellos Alex Stamos, exjefe de seguridad de Facebook; Casey Ellis, fundador de la plataforma de recompensas por errores Bugcrowd; Jon Callas, famoso criptógrafo y exgerente de diseño y arquitectura de seguridad de Apple; Paul Vixie, científico informático; Dino Dai Zovi, exjefe de ingeniería de seguridad aplicada en Block; Katie Moussouris, fundadora de Luta Security; y Rachel Tobac, CEO de la firma de capacitación en concientización sobre seguridad SocialProof Security.

Cuando Mythos fue lanzado como una vista previa en abril, Anthropic afirmó que era tan poderoso para encontrar vulnerabilidades de seguridad que la compañía necesitaba restringir el acceso para prevenir que hackers maliciosos o adversarios extranjeros lo usaran para causar estragos en internet. En la práctica, eso significó que Anthropic otorgó acceso inicial a alrededor de 50 empresas a Mythos, expandiendo recientemente ese grupo a aproximadamente 150 organizaciones en 15 países.

La semana pasada, Anthropic lanzó Fable, una versión pública de Mythos que la compañía dijo que tenía estrictas medidas de seguridad para bloquear su uso en los campos de biología, química y ciberseguridad, así como para evitar que otros destilen el modelo para recrearlo. Las restricciones en Fable fueron tan estrictas que muchos expertos en ciberseguridad encontraron que impedía prácticamente cualquier solicitud relacionada con la ciberseguridad.

Según Anthropic, la orden de control de exportación del gobierno podría haberse basado en un informe que indicaba que existía un método para eludir, o hacer jailbreak, a Fable para desbloquear sus potentes capacidades de nivel Mythos.

Sin embargo, Katie Moussouris, una de las firmantes de la carta abierta, afirmó en una publicación de blog que el documento no demostró en realidad un jailbreak real. En cambio, escribió que los investigadores simplemente pidieron a Fable que reparara código de código abierto con vulnerabilidades públicas y conocidas junto con "vulnerabilidades deliberadamente plantadas", después de que el modelo inicialmente se negó a "revisar el código por problemas de seguridad".

"El comportamiento descrito en el documento no puede solucionarse de manera significativa, y cualquier intento solo debilitaría el modelo para la defensa", escribió Moussouris. "Los defensores necesitan poder pedir a la IA que corrija los errores en un archivo, explique por qué la corrección es importante y escriba pruebas que confirmen que el parche funciona. Eso no es un eludir las restricciones. Es la cosa más valiosa que un modelo de IA puede hacer por la seguridad defensiva: ejecutar el ciclo de encontrar, corregir y probar que los defensores realizan todos los días".

La crítica de Moussouris fue respaldada en la carta abierta, que también indicó que el grupo de expertos cree que el método en el documento de Amazon "puede ser replicado" en el modelo GPT-5.5 de OpenAI, en la propia versión pública de Claude Opus 4.8 de Anthropic y en Kimi 2.7, modelos de inteligencia artificial chinos.

La carta también solicitó regulaciones transparentes y justas creadas por "un proceso de elaboración de normas democrático" que se basen en investigaciones científicas realizadas por expertos de la industria y académicos, y "utilizadas solo en la medida mínima necesaria para garantizar la seguridad del público estadounidense".

Temas