Javier
296 posts

Javier
@javi_22_dev
AI/NN developer. Always learning new things.





bueno en vez de ver al Madrid perdiendo me he leído el report de Anthropic sobre claude Mythos, os lo resumo (weno, las partes de memory safety, ROP chains y KASLR bypasses me las he saltado un poco por encima, que yo aquí soy interiorista y no un experto en ciberseguridad) lo que cuenta el documento es historia de internet básicamente, han montado un scaffolding sencillito (un script de bash que le dice al modelo "encuéntrame un zero-day en este archivo y hazme un exploit") y lo han puesto a iterar. el bicho ha empezado a escupir vulnerabilidades críticas en OpenBSD, Linux y FFmpeg. Algunas llevaban 20 años ahí escondidas sin que ningún experto las detectara la run de Claude Code específica que encontró y explotó un bug crítico en FreeBSD les costó unos 50 pavos en compute todas las run para este único bug costaron unos 20.000 dólares en total, a los europoors nos puede parecer muxo, pero no es tanto aunque vamos, no es que le digan a Claude: "encuentra un exploit aquí e ya". Bueno, en verdad sí, pero muchas veces el mensaje es: el coste de encontrar vulnerabilidades en software crítico para la estabilidad de las naciones estado acaba de colapsar. Anthropic ha anunciado que no va a hacer público este modelo (lo han metido en un programa cerrado llamado project glasswing), en parte por seguridad y en parte porque debe de ser muy caro me llama la atención que no confíen en sus sistemas de safe use y alignment jeje es cierto que tiene un feeling de marketing stunt para venderse como los adultos responsables de la habitación y de mira que buenos somos, además ya sabéis que quien saca la pistola pistola para enseñarla y no dispara es un parguela pero sinceramente creo que están obrando bien. si sueltas este modelo en abierto hoy, mañana las mafias del ransomware te tumban hasta el marcapasos de tu abuela si habéis estado prestando atención a las comunidades de open source, veréis que el panorama de la ciberseguridad ha dado un vuelco radical en los ultimos meses. Hace un año, los maintainers del kernel de linux se quejaban de que los LLMs les inundaban de reportes de seguridad falsos (slop). Hoy, el problema es que los reportes son reales, son críticos, y no dan a basto para parchearlos todos. De echo, estaba rulando un post por aquí el otro día de un proyecto de Linux, a ver si lo encuentro luego o algún buen samaritano lo deja en los comentarios se comentaba hace un par de semanas en un foro de LWN a raíz de todo esto: los embargos de vulnerabilidades van a desaparecer para siempre. hasta ahora, cuando un investigador encontraba un bug crítico, se lo callaba durante 90 días para dar tiempo a los devs a parchearlo. ¿qué sentido tiene ocultar algo hoy si cualquier chaval en su habitación con un script en python y 500 pavos en créditos de API puede encontrar exactamente el mismo bug en una tarde? la investigación de vulnerabilidades siempre ha sido un puzle artesanal reservado para cuatro autistas de élite. Ya no. Encontrar bugs al final es un problema de búsqueda y reconocimiento de patrones en un espacio inmenso, y para eso, los LLMs son la herramienta definitiva el "security by obscurity" ha muerto oficialmente la transición hasta que consigamos que los LLMs parcheen el código más rápido de lo que lo rompen va a ser movidita abrochaos el cinturón, que la technocapital machine está metiendo gas



🚨 New anthropic model detected while using cursor i saw new model: Claude Honeycomb EAP Anthropic research model with per-turn controls and safety fallbacks. Early access preview. 1M context window Version: extra high effort









Claude Fable 5 will be available again globally tomorrow. After a series of productive conversations with the US government, we're redeploying the model with a new set of classifiers to target and block more cybersecurity tasks. In the near term, some routine tasks like coding and debugging will fall back to Opus 4.8. We’ll continue to refine these classifiers over the coming weeks to reduce false positives and better distinguish genuine misuse from legitimate requests. We’ve also begun drafting a consensus framework—with Amazon, Microsoft, Google, and other Glasswing partners—for assessing the severity of AI jailbreaks and how AI developers should respond to them. We invite other industry partners and model providers to join us in this effort. Finally, we’re scaling up our collaboration with the US government on model testing and safeguards. This will include pre-release access to models and safeguards for evaluation, information sharing on jailbreaks and misuse, and dedicated resources for joint research. Thank you to our users for your patience, and to our partners across the government, industry, and the research community who worked alongside us to make Fable 5 available again. Read our full blog: anthropic.com/news/redeployi…











