Dario Amodei, el gurú de la empresa de IA Anthropic publicó el pasado mes de enero un extenso ensayo sobre los peligros de la inteligencia artificial. El texto contiene apuntes curiosos, como el hecho de constatar como peligro real, aunque improbable, que una IA se fascine con relatos de ciencia ficción y deduzca que está destinada a ser el enemigo de la humanidad y, en consecuencia, se convierta en su némesis.

El detalle que interesa hoy es la revelación de que Anthropic ya no está siendo mejorada por humanos, sino que en su mayoría el código lo está puliendo la propia IA. Esto es, la inteligencia artificial está mejorándose a sí misma con intervención humana residual. «En 12 meses, podríamos estar en un mundo donde la IA esté escribiendo, esencialmente, todo el código», augura Amodei.

Este avance tiene implicaciones filosóficas, pero también y muy directas en el sector de la defensa, todavía revuelto por el veto del Pentágono a la empresa de Amodei por no haber querido suprimir los límites éticos de su modelo inteligente.

Como la última actualización de Anthropic, Mythos, programa tan bien, la compañía y expertos le han pedido que revise si los sistemas operativos que usamos de manera habitual (Windows, Android, los navegadores...) tienen fallos de código, que en inglés se llaman bugs (insecto).

Y Mythos ha encontrado «miles», tantos que, en el podcast de “The Wall Street Journal”, los expertos ya bromean hablando del Bugmageddon.

Algunos de estos errores generan ventanas que permiten a los hackers acceder a un ordenador, una base de datos, etc. Esos bugs se llaman vulnerabilidades. Y hay un mercado para quien los encuentre.

«Imaginen hospitales, bancos y sitios web gubernamentales y militares siendo atacados por un hacker de IA capaz de actuar con mayor rapidez y agresividad que cualquier ser humano. Eso es precisamente lo que Anthropic afirmaba querer evitar. Para prevenir lo peor, Anthropic anunció que solo compartirá Mythos con un grupo selecto de empresas que conforman la base del sector tecnológico, como Amazon, Google y Nvidia. Anthropic asegura que no tiene planes inmediatos de lanzar el programa al público», aseguraba la periodista Jessica Mendoza en ese podcast.

Google y Amazon han respondido a este gesto con inversiones milmillonarias en la empresa de Amodei. La primera de ellas ha comprometido 45.000 millones de dólares y la segunda, que tiene un importante volumen de negocio dedicado a la computación en la nube, ha firmado una inversión de 25.000 millones.

EL MERCADO DE LOS «BUGS» Y LA SEGURIDAD

En 2023, un hacker bajo condición de anonimato orientó sobre precios de este mercado de los bugs a GARA. Empresas de seguridad, singularmente las israelíes, ofrecían varios miles de euros (entre 3.000 y 7.000 euros) a quien diera con una nueva vulnerabilidad.

Si el hacker no solo encontraba esa puerta escondida, sino que además era capaz de desarrollar un exploit, un programa para cruzarla (porque una cosa es saber que por ahí se puede entrar de alguna manera y otra distinta, encontrar la manera), entonces el pago era «como para comprarte una casa». Esa fue su expresión. Luego dio la cifra de 300.000 euros.

El precio de los bugs y los exploits jamás salió en el reportaje original, porque la fuente dio dos opciones: «Puedes contar todo lo que te he contado, citando mi nombre, menos lo del dinero. O bien, puedes publicar los precios, pero entonces no has hablado conmigo». Se escogió la opción primera y, por el mismo motivo, este artículo no va a remitir al anterior.

Bob McMillan, también en el podcast de “WSJ”, asegura que hasta la irrupción de la IA se tardaba en torno a dos años y medio desde que alguien daba con uno de los bugs hasta que se desarrollaba el exploit capaz de aprovecharlo. La IA sería capaz de acortar este tiempo a solo días.

Otros expertos también han advertido sobre cierta democratización de los hackers, pues aunque encontrar una vulnerabilidad era algo al alcance de un colectivo relativamente amplio, muy pocos eran capaces de escribir el exploit capaz de aprovecharla. De ahí la diferencia de precios.

Empresas como NSO, la propietaria de Pegasus, y la polémica Palantir no tienen éxito necesariamente porque tengan una tecnología muy superior al resto de la competencia, sino que en buena medida son capaces de hacer lo que hacen, colarse donde no deben, porque han ido comprando exploits y bugs a programadores informáticos con talento. Obviamente, cuáles son las vulnerabilidades que usan es su gran secreto.

Volvemos ahora a lo que significa potencialmente el Bugmageddon. Si el uso de modelos de IA avanzados, como Mythos, va a permitir que Safari o Chrome o Windows revisen todos esos fallos que han pasado tanto tiempo sin ser detectados (uno de los bugs destapados por Anthropic llevaba 27 años sin ser descubierto) algunos de los agujeros y exploits por los que han pagado las empresas de inteligencia van a quedar en nada. Toda la inversión, a la basura.

Esto supone un terremoto en materia de seguridad y estas compañías de espionaje y defensa, por impresionantemente poderosas que se muestren hoy, son frágiles debido a su dependencia de los fondos de capital riesgo, siempre volátiles por muy patrióticos que sean sus propietarios.

Mythos no es un fenómeno aislado, también está Google Project Zero que usa la IA para limpiar de bugs los sistemas desarrollados por esta compañía. Todas las IA saben programar y, en consecuencia, pulir fallos previos humanos. Hoy Anthropic tiene fama de ser la más avanzada, pero pasado mañana quién sabe.

El Bugmageddon implica, por tanto, el gran reseteo de la industria de la ciberseguridad.