{"id":2536,"date":"2026-04-13T13:52:45","date_gmt":"2026-04-13T13:52:45","guid":{"rendered":"https:\/\/elink.cat\/blog\/?p=2536"},"modified":"2026-04-13T21:48:23","modified_gmt":"2026-04-13T21:48:23","slug":"project-glasswing-que-passa-quan-la-ia-troba-les-vulnerabilitats-abans-que-ningu","status":"publish","type":"post","link":"https:\/\/elink.cat\/blog\/project-glasswing-que-passa-quan-la-ia-troba-les-vulnerabilitats-abans-que-ningu\/","title":{"rendered":"Project Glasswing: qu\u00e8 passa quan la IA troba les vulnerabilitats abans que ning\u00fa?"},"content":{"rendered":"Temps de lectura: <\/span> 3<\/span> minuts<\/span><\/span>\n

La setmana passada, Anthropic va fer una cosa que cap empresa d’IA havia fet mai: crear el seu model m\u00e9s potent i decidir que el m\u00f3n no estava preparat per tenir-lo.<\/p>\n\n\n\n

Claude Mythos Preview no \u00e9s un model m\u00e9s. En poques setmanes de proves, ha trobat milers de vulnerabilitats zero-day (desconegudes fins ara) en tots els sistemes operatius principals, tots els navegadors web importants i desenes de projectes de codi obert. No estem parlant de bugs menors: entre les troballes hi ha una vulnerabilitat de 27 anys a OpenBSD i una falla d’execuci\u00f3 remota de 17 anys a FreeBSD que permetia a qualsevol atacant obtenir acc\u00e9s root complet a qualsevol servidor amb NFS actiu.<\/p>\n\n\n\n

Per\u00f2 el que realment fa diferent Mythos no \u00e9s que trobi vulnerabilitats. \u00c9s que les explota. El model \u00e9s capa\u00e7 d’encadenar tres, quatre, fins i tot cinc vulnerabilitats independents per construir atacs sofisticats de manera completament aut\u00f2noma. Com va dir Nicholas Carlini, investigador de seguretat d’Anthropic: “He trobat m\u00e9s bugs en les \u00faltimes dues setmanes que en tota la resta de la meva vida junta.”<\/p>\n\n\n\n

Un canvi de paradigma per a la ind\u00fastria del software<\/strong><\/p>\n\n\n\n

Les conseq\u00fc\u00e8ncies per al sector del desenvolupament de software s\u00f3n molt profundes. Fins ara, la seguretat era un proc\u00e9s hum\u00e0, lent i imperfecte: tenim equips d’auditoria que revisen codi durant setmanes o mesos, ca\u00e7adors de bugs que treballaven artesanalment, i fins i tot un ecosistema de “responsible disclosure<\/a><\/em>“…<\/p>\n\n\n\n

Amb un model com Mythos, aquesta asimetria desapareix. Si un model pot escanejar milions de l\u00ednies de codi i trobar vulnerabilitats cr\u00edtiques en hores, el temps entre la descoberta i l’explotaci\u00f3 es col\u00b7lapsa: el que abans trigava mesos ara pot passar en minuts. <\/p>\n\n\n\n

Per als equips de desenvolupament, el missatge \u00e9s clar: el codi que publiqueu avui ser\u00e0 auditat per models d’IA dem\u00e0. Les pr\u00e0ctiques de “security by design<\/a><\/em>” passen de ser una bona idea a una necessitat urgent i ara ja s’hauran d’incorporar escaneigs automatitzats amb IA com a pas est\u00e0ndard, no com a luxe opcional.<\/p>\n\n\n\n

Per a l’ecosistema open source, la situaci\u00f3 \u00e9s encara m\u00e9s delicada. Projectes mantinguts per voluntaris, amb pressupostos m\u00ednims, sustenten una part enorme de la infraestructura digital mundial. Anthropic ho ha ent\u00e8s: per aix\u00f2 destina 4 milions en donacions directes a organitzacions de seguretat open source i ofereix cr\u00e8dits gratu\u00efts perqu\u00e8 els mantenidors puguin usar Mythos per arreglar el seu codi. Per\u00f2 qui pagar\u00e0 per la seguretat del software del qual dep\u00e8n tothom?<\/p>\n\n\n\n

Per a les empreses de ciberseguretat, Glasswing \u00e9s alhora una oportunitat i una amena\u00e7a. L’oportunitat \u00e9s evident: la IA pot multiplicar exponencialment la capacitat defensiva. L’amena\u00e7a, tamb\u00e9: si un model pot fer en hores el que un equip d’auditors fa en setmanes, el valor afegit hum\u00e0 es despla\u00e7a cap a la interpretaci\u00f3, la prioritzaci\u00f3 i la resposta<\/strong>, no cap a la descoberta.<\/p>\n\n\n\n

El precedent que estableix Glasswing<\/strong><\/p>\n\n\n\n

Potser l’aspecte m\u00e9s rellevant de tot plegat no \u00e9s tecnol\u00f2gic, sin\u00f3 estrat\u00e8gic. Anthropic ha establert un precedent: hi ha models que s\u00f3n massa potents per ser p\u00fablics. No \u00e9s la primera vegada que una empresa d’IA parla de seguretat, per\u00f2 s\u00ed la primera que decideix no llen\u00e7ar un producte per motius de risc real i demostrable.<\/p>\n\n\n\n

Aix\u00f2 obre un debat important. Qui decideix quins models es publiquen i quins no? Amb quins criteris? I qu\u00e8 passa quan altres empreses, o governs, desenvolupin models amb capacitats similars per\u00f2 sense la mateixa contenci\u00f3?<\/p>\n\n\n\n

El que sabem \u00e9s que Mythos no ser\u00e0 l’\u00faltim model amb aquestes capacitats. Anthropic ja ha dit que vol portar les proteccions de Glasswing als seus futurs models Opus, per poder oferir eventualment models d’aquesta pot\u00e8ncia a tothom de manera segura, per\u00f2 el cam\u00ed fins all\u00e0 ser\u00e0 llarg.<\/p>\n\n\n\n

Mentrestant, la ind\u00fastria del software afronta una realitat nova: el codi que escrivim avui ja est\u00e0 sent jutjat per una IA que no perdona els errors que els humans podem passar per alt. I aix\u00f2, potser far\u00e0 que el software del futur pugui ser considerablement m\u00e9s segur, per\u00f2 sabrem usar-ho b\u00e9 \u00e8ticament?<\/p>\n","protected":false},"excerpt":{"rendered":"

Temps de lectura: <\/span> 3<\/span> minuts<\/span><\/span>La setmana passada, Anthropic va fer una cosa que cap empresa d’IA havia fet mai: crear el seu model m\u00e9s potent i decidir que el m\u00f3n no estava preparat per<\/p>\n","protected":false},"author":1,"featured_media":2543,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"breadcrumbs_single_post":"","page_title_panel":"","breadcrumbs_single_page":"","single_page_alignment":"","single_page_margin":"","page_structure_type":"","content_style_source":"","content_style":"","blog_post_streched_ed":"","blog_page_streched_ed":"","has_transparent_header":"","disable_transparent_header":"","vertical_spacing_source":"","content_area_spacing":"","single_post_content_background":"","single_page_content_background":"","single_post_boxed_content_spacing":"","single_page_boxed_content_spacing":"","single_post_content_boxed_radius":"","single_page_content_boxed_radius":"","disable_featured_image":"","disable_post_tags":"","disable_author_box":"","disable_posts_navigation":"","disable_comments":"","disable_related_posts":"","disable_header":"","disable_footer":"","footnotes":""},"categories":[28],"tags":[],"class_list":["post-2536","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguretat-governanca-ia","rishi-post"],"_links":{"self":[{"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/posts\/2536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/comments?post=2536"}],"version-history":[{"count":4,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/posts\/2536\/revisions"}],"predecessor-version":[{"id":2548,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/posts\/2536\/revisions\/2548"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/media\/2543"}],"wp:attachment":[{"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/media?parent=2536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/categories?post=2536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/elink.cat\/blog\/wp-json\/wp\/v2\/tags?post=2536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}