Artículos Relacionados con Vulnerabilidad

El Centro de Noticias de HTX ofrece los artículos más recientes y un análisis profundo sobre "Vulnerabilidad", cubriendo tendencias del mercado, actualizaciones de proyectos, desarrollos tecnológicos y políticas regulatorias en la industria de cripto.

¿Qué tan peligroso es Mythos? Por qué Anthropic decidió no lanzar públicamente su nuevo modelo

Anthropic ha decidido no lanzar públicamente su nuevo modelo de IA, Mythos, debido a sus capacidades extremadamente avanzadas y potencialmente peligrosas en el ámbito de la ciberseguridad. El modelo puede identificar vulnerabilidades de día cero, generar códigos de explotación y ejecutar cadenas de ataques complejos de forma autónoma en cuestión de horas o incluso minutos, tareas que normalmente requerirían hackers expertos trabajando durante largos períodos. Instituciones financieras como JPMorgan Chase, Goldman Sachs y agencias gubernamentales estadounidenses ya están utilizando Mythos de forma limitada para identificar y parchear vulnerabilidades antes de que sean explotadas por actores maliciosos. Sin embargo, su capacidad para reducir drásticamente la barrera de entrada para realizar ciberataques sofisticados representa un riesgo significativo para la seguridad nacional y global. La preocupación principal no es lo que Mythos puede hacer, sino quién podría usarlo y bajo qué condiciones.

marsbitHace 9 hora(s)

¿Qué tan peligroso es Mythos? Por qué Anthropic decidió no lanzar públicamente su nuevo modelo

marsbitHace 9 hora(s)

OpenClaw se vuelve viral, expone 12 tipos de riesgos mortales y se publica el estándar de seguridad del protocolo MCP

El proyecto OpenClaw y otros agentes de IA de código abierto están ganando popularidad rápidamente, permitiendo que los modelos de IA ejecuten tareas de forma autónoma, como escribir código, buscar información y manipular archivos locales, gracias al protocolo de contexto de modelo (MCP). Sin embargo, esta capacidad conlleva riesgos de seguridad significativos. Investigadores de la Universidad de Beijing de Correos y Telecomunicaciones han desarrollado MSB, un benchmark de seguridad para evaluar los riesgos en el ecosistema MCP, identificando 12 tipos de ataques, como la suplantación de herramientas y errores falsos. Los resultados muestran que todos los métodos de ataque son efectivos, con una tasa promedio de éxito del 40,35%, y que los modelos más potentes son más vulnerables. El estudio también introduce el indicador NRP para medir el equilibrio entre seguridad y rendimiento.

marsbitHace 9 hora(s)

OpenClaw se vuelve viral, expone 12 tipos de riesgos mortales y se publica el estándar de seguridad del protocolo MCP

marsbitHace 9 hora(s)

Vulnerabilidad en Android deja 30 millones de carteras de criptomonedas expuestas a ataques: Analistas de Microsoft

Una vulnerabilidad de seguridad en el componente EngageLab SDK (versión 4.5.4) para Android expuso aproximadamente 30 millones de carteras de criptomonedas a un ataque de redirección de intenciones. El fallo, descubierto por Microsoft en abril de 2025, permitía a aplicaciones maliciosas acceder a datos sensibles como frases semilla y claves privadas sin requerir interacción del usuario. Aunque se lanzó un parche (SDK 5.2.1) en mayo de 2025, los usuarios con aplicaciones desactualizadas o instaladas mediante APK externos siguen en riesgo. Se recomienda actualizar las apps inmediatamente y transferir fondos a nuevas carteras con frases de recuperación regeneradas si se usaron carteras vulnerables durante el período de exposición.

bitcoinist04/11 15:34

Vulnerabilidad en Android deja 30 millones de carteras de criptomonedas expuestas a ataques: Analistas de Microsoft

bitcoinist04/11 15:34

¿Cuánto tiempo más podrá sobrevivir el ecosistema de Ethereum después del lanzamiento de Mythos?

Resumen: Tras la presentación de Mythos, una herramienta de IA capaz de analizar contratos inteligentes a velocidad sin precedentes, expertos alertan sobre riesgos existenciales para Ethereum. Con $680 mil millones en TVL, contratos inmutables y vulnerabilidades antiguas, la cadena es extremadamente vulnerable. Mythos puede identificar exploits en horas, no meses, priorizando contratos con alto valor, código antiguo y poca vigilancia. Se destacan riesgos en Lido (controla el 28% del ETH apostado) y la lentitud de la gobernanza descentralizada para responder a crisis. La auditoría tradicional queda obsoleta. La supervivencia de Ethereum depende de que la comunidad actúe con urgencia ante esta nueva era de ataques impulsados por IA.

marsbit04/09 01:54

¿Cuánto tiempo más podrá sobrevivir el ecosistema de Ethereum después del lanzamiento de Mythos?

marsbit04/09 01:54

Anthropic ha creado el modelo de IA más potente de la historia, pero no se atreve a lanzarlo...

Anthropic ha desarrollado Mythos, el modelo de IA más potente hasta la fecha, con 10 billones de parámetros y un coste de entrenamiento de 10.000 millones de dólares. Sin embargo, debido a su capacidad excepcional para detectar y explotar vulnerabilidades de software, la compañía no lo ha lanzado públicamente por miedo a que sea mal utilizado. En solo semanas, Mythos identificó miles de vulnerabilidades de día cero en sistemas críticos, incluyendo fallos de 27 años en OpenBSD y 16 años en FFmpeg, además de demostrar habilidades avanzadas de escalada de privilegios en Linux. Para mitigar riesgos, Anthropic lanzó el "Proyecto Glasswing", una colaboración con gigantes tecnológicos y financieros como Google, Microsoft y JP Morgan. El objetivo es permitir que estas empresas utilicen una versión preview de Mythos para identificar y parchear vulnerabilidades antes de que los actores malintencionados puedan explotarlas. Aunque la IA plantea nuevos desafíos de seguridad, Anthropic mantiene un optimismo cauteloso, destacando que estas herramientas también pueden reforzar las defensas cibernéticas globales si se usan de manera responsable.

Odaily星球日报04/08 04:02

Anthropic ha creado el modelo de IA más potente de la historia, pero no se atreve a lanzarlo...

Odaily星球日报04/08 04:02

¿Con la IA resolviendo la seguridad, ¿DeFi volverá a su era dorada?

La era del 'DeFi Summer' en 2020 estuvo marcada por una rápida innovación pero también por vulnerabilidades y ataques costosos. Esto llevó a la industria a priorizar la seguridad, ralentizando la experimentación debido a los altos costos y largos tiempos de las auditorías tradicionales. Sin embargo, la IA está revolucionando este panorama al reducir drásticamente estos costos. Herramientas como Nemesis pueden detectar vulnerabilidades complejas y contextuales con una precisión superior, minimizando falsos positivos. La próxima generación de modelos, como Mythos de Anthropic, promete capacidades aún mayores. Plataformas como Battlechain de Cyfrin redefinen el flujo de trabajo: permiten implementar protocolos en un entorno de prueba para ataques simulados, donde los fondos robados pueden recuperarse en gran medida, creando un incentivo económico para descubrir vulnerables. Este proceso acorta el ciclo de desarrollo de meses a horas. Además, la integración de auditorías por IA en billeteras permitirá a los usuarios analizar contratos y transacciones en tiempo real antes de firmarlas, proporcionando una capa adicional de protección. Este ecosistema impulsado por IA está revitalizando el espíritu experimental de DeFi, permitiendo a los desarrolladores probar ideas innovadoras de manera rápida, segura y asequible, allanando el camino para una nueva era de innovación descentralizada.

marsbit04/03 10:16

¿Con la IA resolviendo la seguridad, ¿DeFi volverá a su era dorada?

marsbit04/03 10:16

Cambiando 200,000 por casi 100 millones: otro ataque a una stablecoin DeFi

Un atacante explotó una vulnerabilidad en Resolv Labs, un protocolo DeFi que emite el stablecoin USR utilizando una estrategia delta-neutral. El hacker, con una dirección que comienza con 0x04A2, utilizó 100,000 USDC para acuñar fraudulentamente 50 millones de USR, valorados inicialmente en aproximadamente $50 millones, pero que colapsaron a $0.25 tras el ataque. Repitió el método poco después con otros 100,000 USDC para crear 30 millones más de USR. La causa raíz fue un fallo de diseño: el contrato de acuñación confiaba ciegamente en los parámetros proporcionados por una cuenta con el rol SERVICE_ROLE, que se presume fue comprometida. Este rol, controlado supuestamente por el backend del proyecto, proporcionaba la cantidad de USR a acuñar (*_mintAmount*) sin ninguna verificación en cadena o límite máximo, permitiendo al hacker inyectar un valor arbitrario (50 millones). El ataque provocó una depegación masiva de USR, vació mercados de préstamos en Morpho y Lista DAO, y expuso a grandes pérdidas a poseedores del token de riesgo RLP, incluyendo a Stream Finance. El hacker convirtió el USR robado en más de $20 millones en USDC, USDT y ETH. El protocolo no se pausó hasta 3 horas después del primer ataque, retrasado por la necesidad de recoger 4 firmas para una multisig, lo que evidenció una preparación insuficiente para emergencias. La lección clave es que los protocolos DeFi deben implementar verificaciones en cadena y no confiar en ningún componente externo, incluso si es propio.

marsbit03/22 09:56

Cambiando 200,000 por casi 100 millones: otro ataque a una stablecoin DeFi

marsbit03/22 09:56

Una Solución Rápida: Ripple Parchea un Problema Importante que Podría Amenazar a los Usuarios de XRP en el Ledger

Ripple ha lanzado una actualización crítica, Rippled versión 3.1.2, para solucionar una vulnerabilidad en la enmienda Batch del XRP Ledger. El fallo, introducido en la versión 3.1.0, podía provocar que los servidores se bloquearan o reiniciaran y, en el peor caso, permitía a un atacante ejecutar transacciones en nombre de cuentas arbitrarias sin sus claves privadas. Tras una primera corrección de emergencia con la versión 3.1.1, esta nueva actualización estabiliza la red. Los usuarios deben actualizar para evitar interrupciones. Paralelamente, el CTO emérito David Schwartz respondió a las críticas sobre las ventas de XRP de la empresa para financiar sus operaciones, argumentando que la lógica de que perjudica a los inversores minoristas es incorrecta.

bitcoinist03/18 03:34

Una Solución Rápida: Ripple Parchea un Problema Importante que Podría Amenazar a los Usuarios de XRP en el Ledger

bitcoinist03/18 03:34

¿Tu "OpenClaw" está funcionando al desnudo? CertiK demuestra: Cómo el Skill con vulnerabilidades de OpenClaw engaña la revisión y toma el control no autorizado de la computadora

Recientemente, la plataforma de agentes de IA de código abierto OpenClaw (apodada "Crayfish" o "小龙虾") ha ganado popularidad rápidamente. Sin embargo, un estudio de CertiK, la mayor empresa de seguridad de Web3, revela graves vulnerabilidades en su ecosistema. Los Skill (extensiones) de terceros, que se ejecutan con altos privilegios y pueden acceder a archivos locales, ejecutar comandos del sistema e incluso manipular activos digitales, representan un riesgo significativo. El mecanismo de seguridad actual de Clawhub, el mercado de OpenClaw, se basa en un escaneo de código estático y una revisión por IA antes de la publicación. No obstante, la investigación demostró que estas defensas son insuficientes. Los atacantes pueden eludir fácilmente la detección estática modificando ligeramente el código malicioso, y la revisión por IA no puede identificar vulnerabilidades ocultas dentro de lógicas aparentemente legítimas. Además, los Skill pueden publicarse y instalarse antes de que se completen todos los escaneos de VirusTotal, sin advertencias para el usuario. Para probarlo, CertiK desarrolló un Skill malicioso disfrazado de herramienta de búsqueda web. Superó todos los controles y, una vez instalado, permitió la ejecución remota de comandos en el dispositivo host con una simple instrucción enviada por Telegram. El problema fundamental es la dependencia excesiva de la revisión previa a la publicación en lugar de implementar un aislamiento estricto en tiempo de ejecución. A diferencia de los ecosistemas seguros como iOS, donde las apps se ejecutan en sandboxes obligatorios, el sandbox de OpenClaw es opcional y la mayoría de los usuarios lo desactivan para una mejor funcionalidad, dejando sus dispositivos expuestos. CertiK recomienda a los desarrolladores que hagan del sandbox una configuración obligatoria por defecto con un modelo de permisos granular. A los usuarios, se les aconseja tratar a los Skill etiquetados como "seguros" con escepticismo, desplegar OpenClaw en dispositivos no críticos o máquinas virtuales, y mantenerlo alejado de archivos sensibles y activos valiosos hasta que se fortalezcan los mecanismos de seguridad subyacentes. La industria debe pasar de confiar en la detección perfecta a contener el daño asumiendo que el riesgo siempre existe.

marsbit03/17 14:42

¿Tu "OpenClaw" está funcionando al desnudo? CertiK demuestra: Cómo el Skill con vulnerabilidades de OpenClaw engaña la revisión y toma el control no autorizado de la computadora

marsbit03/17 14:42

El Hackeo a Bonk.fun Expone a Usuarios de Solana a Ataques de Drenaje de Carteras

La vulnerabilidad de seguridad en Bonk.fun permitió que enlaces maliciosos drenaran fondos de usuarios desprevenidos. Los atacantes inyectaron scripts maliciosos que redirigían a sitios de phishing, solicitando aprobaciones de carteras conectadas. Estas aprobaciones permitieron el drenaje automático de tokens hacia direcciones controladas por los atacantes. La plataforma, relacionada con el trading de memecoins y DeFi en Solana, fue comprometida mediante interfaces falsas que simulaban reclamaciones de recompensas. Los activos eran sustraídos en segundos tras la aprobación del usuario. El equipo de Bonk.fun advirtió inmediatamente: "Un actor malicioso ha comprometido el dominio. No interactúen con el sitio". Los desarrolladores eliminaron los scripts maliciosos, revisaron integraciones y alertaron a los usuarios para revocar aprobaciones sospechosas. La comunidad respondió rápidamente, monitoreando transacciones y compartiendo advertencias en redes sociales. Aunque el incidente generó preocupación en el ecosistema, la respuesta rápida ayudó a limitar daños potenciales.

TheNewsCrypto03/12 11:18

El Hackeo a Bonk.fun Expone a Usuarios de Solana a Ataques de Drenaje de Carteras

TheNewsCrypto03/12 11:18

活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow

Bitcoin

Análisis de Mercado