Empresa de inteligencia artificial (IA) Anthropic revelada que su último modelo de grandes lenguajes (LLM), Claude Opus 4.6, ha detectado más de 500 fallos de seguridad de alta gravedad desconocidos anteriormente en bibliotecas de código abierto, entre ellos Guión fantasma , OpenSC , y CGIF .

Claude Opus 4.6, que fue lanzado el jueves, incluye habilidades de codificación mejoradas, incluidas las capacidades de revisión y depuración del código, junto con mejoras en tareas como los análisis financieros, la investigación y la creación de documentos.

Al afirmar que el modelo es «notablemente mejor» para descubrir vulnerabilidades de alta gravedad sin requerir herramientas específicas para cada tarea, andamios personalizados o indicaciones especializadas, Anthropic dijo que lo está utilizando para encontrar y ayudar a corregir vulnerabilidades en el software de código abierto.

adsense

«Opus 4.6 lee y razona sobre el código de la misma manera que lo haría un investigador humano: analiza las correcciones anteriores para encontrar errores similares que no se solucionaron, detecta patrones que tienden a causar problemas o comprende un fragmento de lógica lo suficientemente bien como para saber exactamente qué entrada lo interrumpiría», añade.

Antes de su debut, el equipo Frontier Red de Anthropic puso a prueba el modelo en un entorno virtualizado y le dio las herramientas necesarias, como depuradores y fuzzers, para encontrar fallas en los proyectos de código abierto. La idea, decía, era evaluar las capacidades listas para usar del modelo sin dar instrucciones sobre cómo usar estas herramientas ni proporcionar información que pudiera ayudar a identificar mejor las vulnerabilidades.

La compañía también dijo que validó cada defecto descubierto para asegurarse de que no estaba inventado (es decir, alucinado), y que el LLM se utilizó como una herramienta para priorizar las vulnerabilidades de corrupción de memoria más graves que se identificaron.

A continuación se enumeran algunos de los defectos de seguridad señalados por Claude Opus 4.6. Desde entonces, han sido corregidos por los respectivos mantenedores.

  • Analizar el historial de confirmaciones de Git para identificar una vulnerabilidad en Ghostscript que podría provocar un bloqueo al aprovechar una verificación de límites faltantes
  • Búsqueda de llamadas a funciones como strrchr () y strcat () para identificar una vulnerabilidad de desbordamiento de búfer en OpenSC
  • Una vulnerabilidad de desbordamiento de búfer de pila en CGIF (corregida en versión 0.5.1 )

«Esta vulnerabilidad es particularmente interesante porque su activación requiere una comprensión conceptual del algoritmo LZW y su relación con el formato de archivo GIF», dijo Anthropic sobre el error CGIF. «Los fuzzers tradicionales (e incluso los fuzzers guiados por la cobertura) tienen dificultades para generar vulnerabilidades de esta naturaleza porque requieren una selección particular de sucursales».

«De hecho, incluso si el CGIF tuviera una cobertura de líneas y sucursales del 100%, esta vulnerabilidad podría permanecer sin ser detectada: requiere una secuencia de operaciones muy específica».

enlaces

La compañía ha presentado modelos de IA como Claude como una herramienta fundamental para que los defensores «nivelen el campo de juego». Sin embargo, también hizo hincapié en que ajustará y actualizará sus medidas de protección a medida que se descubran posibles amenazas y que establecerá barreras de protección adicionales para evitar el uso indebido.

La revelación se produce semanas después de que Anthropic dijera que sus modelos Claude actuales pueden atacar redes en varias etapas con docenas de servidores que utilizan solo herramientas estándar de código abierto al encontrar y explotar las fallas de seguridad conocidas.

«Esto ilustra cómo las barreras para el uso de la IA en los flujos de trabajo cibernéticos relativamente autónomos están disminuyendo rápidamente, y destaca la importancia de los fundamentos de la seguridad, como la pronta reparación de las vulnerabilidades conocidas», dijo .

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.