El director de información federal, Greg Barbaccia, dijo el martes que el gobierno se está acercando al modelo Mythos de Anthropic con expectativas mesuradas, reconociendo tanto su potencial para fortalecer las defensas cibernéticas federales como las importantes incertidumbres que quedan sobre cómo se comportaría en condiciones del mundo real.

Barbaccia dijo que su exposición directa a Mythos se ha limitado a evaluaciones y pruebas comparativas, y que ninguna agencia federal lo ha implementado todavía. Si bien dice que la Oficina del Director Nacional Cibernético está coordinando el enfoque del gobierno, su evaluación más amplia de hacia dónde se dirige la ciberseguridad asistida por IA fue directa.

«Pronto llegaremos a un mundo en el que la defensa de la IA podrá alcanzarnos», dijo Barbaccia a CyberScoop el martes en la Foro federal de Workdayproducido por Scoop News Group. «Debemos llegar a un punto en el que los robots encuentren a los robots».

A principios de este mes, Barbaccia envió un correo electrónico a las agencias del gabinete para informarles que la Oficina de Gestión y Presupuesto ha comenzado a sentar las bases para una implementación controlada del modelo en las agencias federales.

Su encuadre refleja una visión de que las mismas capacidades que hacen de Mythos una amenaza ofensiva potencial son precisamente las que lo hacen valioso como herramienta defensiva. Anthropic ha dicho que el modelo identificó miles de vulnerabilidades de alta gravedad previamente desconocidas en los principales sistemas operativos y navegadores web durante las pruebas, muchas de ellas con décadas de antigüedad. La pregunta para los equipos de seguridad federales no es si esas capacidades son reales, sino si se trasladan de los entornos de laboratorio controlados a las redes complejas y defendidas que las agencias gubernamentales realmente manejan.

Barbaccia fue sincero sobre esa brecha.

«Creo que mejorará el nivel de las personas y hará que un operador ofensivo de ciberseguridad novato sea más eficiente», dijo a CyberScoop. «Pero aún no se sabe qué tan efectivo será contra las condiciones del mundo real, es decir, una red protegida por defensores humanos que tiene alertas y cosas así. Las evaluaciones que he visto han sido aprendizajes de laboratorio».

Esa distinción es importante para los equipos de seguridad federales que sopesan cómo pensar en el modelo. Encontrar una vulnerabilidad y explotarla con éxito en un entorno defendido son problemas diferentes. Barbaccia señaló el catálogo CVE, la lista actualizada del gobierno de fallas de software conocidas, como un área donde la velocidad del modelo podría tener valor práctico. Un analista humano trabajando en ese catálogo tomaría un tiempo considerable. Un modelo como Mythos podría atravesarlo mucho más rápido. Pero la velocidad por sí sola no determina si una vulnerabilidad representa una amenaza real.

«Existe una diferencia entre algo que es explotable en una ventana de 4 nanosegundos durante un arranque de BIOS y cuál es la realidad de que eso sea explotado en el mundo real», dijo. «Tenemos que entender, de la misma manera que se podría proteger toda la superficie de amenazas, ¿dónde están las joyas de la corona? Y cómo proteger algo y asegurarse de que la protección que está implementando valga la pena para lo que está protegiendo».

Ese tipo de pensamiento es familiar para los defensores de las redes federales, quienes operan bajo limitaciones de recursos y deben evaluar qué vulnerabilidades abordar primero. Lo que Mythos potencialmente cambia es la velocidad a la que se puede realizar esa clasificación y la profundidad con la que se pueden identificar las vulnerabilidades antes de que un adversario las encuentre.

Barbaccia dijo que el Consejo de CIO, que coordina la política tecnológica entre agencias civiles, aún se encuentra en las primeras etapas de comprensión de lo que el modelo podría significar para los entornos de seguridad empresarial. «Todo el mundo tiene curiosidad por saber mucho más», dijo.

Las agencias han intentado por su cuenta obtener acceso al modelo de Anthropic. El Departamento del Tesoro ha solicitado acceso, según informes. CISA, la agencia responsable de asegurar, monitorear y defender las redes de agencias civiles, no se le ha concedido acceso.