← Radar
Schneier on Security AI

El modelo de IA presentado como 'seguro' fue vulnerado en días — las garantías de seguridad de IA no son certificaciones técnicas

Fable 5 es la versión de Anthropic diseñada con guardrails para evitar que pudiera usarse en la creación de ciberataques. Investigadores externos eliminaron esas restricciones en días. El incidente no es sobre un modelo específico: es sobre lo que significa confiar en garantías de seguridad de IA que no pueden auditarse externamente.
23 de junio de 2026

La señal

Fable 5, el modelo que Anthropic presentó como la versión segura de su sistema Mythos — diseñado con controles específicos para evitar que pudiera usarse en la creación de ciberataques — fue vulnerado por investigadores externos días después de su lanzamiento. Sus restricciones de seguridad fueron eliminadas.

El supuesto que se rompe

Cuando un proveedor de IA dice que su modelo “no puede hacer X”, ese “no puede” se asume técnico y absoluto. Lo que muestra el caso de Fable 5 es algo distinto: los controles de seguridad en modelos de IA son capas de diseño que pueden removerse, no arquitectura que hace ciertos resultados imposibles. La diferencia importa: si la organización tomó decisiones de riesgo — qué accesos darle al modelo, qué datos exponerle, qué procesos automatizar — basándose en garantías de seguridad del proveedor, esas decisiones descansaban sobre una promesa que no pudo verificarse de forma independiente.

Qué observar

Qué asunciones de seguridad sobre los modelos de IA que usa la organización fueron evaluadas y cuáles fueron aceptadas sin verificación. Si un proveedor dice que su modelo no filtra datos a terceros, no accede a sistemas sin autorización o no puede usarse para fines indebidos — ¿existe alguna forma de auditarlo, o es una declaración de diseño que hay que creer?

Leer fuente original →