Moonshot AI està preparant el llançament de Kimi K3, un model que, segons les informacions avançades pel Financial Times, tindrà entre dos i tres bilions de paràmetres i es publicarà amb els pesos oberts. Les fonts consultades pel diari asseguren que podria superar Claude Opus 4.8 en diversos benchmarks generalistes, tot i que encara quedaria per sota de Fable 5 en les tasques més avançades. Aquesta comparació és important perquè Fable no és simplement un model una mica millor programant: representa una nova categoria de sistemes amb capacitats de ciberseguretat prou potents per haver provocat la intervenció del govern dels Estats Units.

Encara no sabem si aquestes prediccions sobre Kimi K3 es confirmaran. No tenim una system card, resultats independents ni accés als pesos. Tampoc sabem què significa exactament “quedar per sota de Fable”, perquè un únic resultat agregat pot amagar diferències enormes entre analitzar codi, trobar una vulnerabilitat, validar-la en un entorn real i convertir-la en un exploit funcional.

Però la pregunta interessant no és què passarà si Kimi K3 és una mica millor que els models oberts actuals. La pregunta és què passarà si Moonshot, ara o en una iteració posterior, publica amb pesos oberts un model que tingui capacitats de ciberseguretat comparables a Fable, Mythos o GPT-5.6 Sol.

En aquest cas, entrarem en territori desconegut.

Els models ja no només expliquen vulnerabilitats

Durant molt de temps, parlar dels riscos dels models de llenguatge en ciberseguretat volia dir parlar de phishing, generació de malware mediocre o automatització de tasques que un atacant mínimament competent ja podia fer. Eren eines útils per accelerar una operació, però no modificaven substancialment qui podia executar-la ni quins objectius es podien atacar.

Els models més recents comencen a alterar aquesta equació.

Anthropic afirma que Claude Mythos 5 pot trobar i explotar vulnerabilitats de programari millor que qualsevol altre model i millor que gairebé tots els experts humans en seguretat. Fable 5 comparteix bona part d’aquestes capacitats, però es distribueix amb classificadors i sistemes de control que intenten impedir-ne els usos més perillosos.

OpenAI descriu GPT-5.6 Sol com el seu model més potent fins ara per a ciberseguretat, especialment en investigacions llargues de vulnerabilitats i explotació. Segons els seus resultats, Sol és competitiu amb Mythos Preview en ExploitBench, però necessita aproximadament un terç dels tokens de sortida. OpenAI classifica Sol, Terra i Luna com a models d’alta capacitat tant en ciberseguretat com en riscos biològics i químics, motiu pel qual els desplega amb un conjunt específic de salvaguardes.

Això no significa que aquests models puguin comprometre autònomament qualsevol sistema. L’explotació continua sent difícil, especialment quan cal encadenar vulnerabilitats, adaptar-se a defenses modernes i mantenir una investigació coherent durant moltes hores. Tanmateix, els resultats ja no són marginals. En el benchmark ExploitGym, Mythos Preview i GPT-5.5 van aconseguir produir exploits funcionals per a 157 i 120 casos respectivament, sobre un conjunt de 898 vulnerabilitats reals.

La trajectòria és clara. Els models estan passant de suggerir on podria haver-hi un error a intervenir en tota la cadena: inspeccionar el codi, identificar una vulnerabilitat, reproduir-la, comprendre’n l’impacte, construir primitives d’explotació i, en alguns casos, generar un exploit que funciona.

Una barrera que només existeix mentre el fabricant controla el model

Quan utilitzem Fable o Sol a través d’una API, no interactuem únicament amb una xarxa neuronal. Interactuem amb un servei complet.

El proveïdor controla el model que s’executa, el system prompt, els classificadors d’entrada i sortida, els límits d’ús, el seguiment de l’activitat, les eines disponibles, els entorns d’execució i la identitat de l’usuari. També pot suspendre un compte, bloquejar una classe de peticions o modificar les salvaguardes sense distribuir una nova versió del model.

Aquestes barreres no són perfectes. Un estudi recent sobre Fable 5 i Opus 4.8 va comprovar que els atacs adaptatius automatitzats encara aconseguien obtenir respostes perjudicials en una part significativa de les proves. Fable 5 va resistir millor que Opus 4.8, però el sistema més robust va fallar en un 6,1% dels intents en el pitjor escenari analitzat. Els investigadors van obtenir centenars de respostes perjudicials confirmades sense necessitat que un expert humà guiés manualment cada atac.

Tot i aquestes limitacions, una salvaguarda imperfecta continua sent una salvaguarda. Pot augmentar el cost d’un atac, reduir-ne l’escala, generar telemetria i permetre que el proveïdor reaccioni.

Amb un model de pesos oberts, bona part d’aquesta arquitectura desapareix.

Els classificadors externs es poden eliminar. Les polítiques de moderació es poden substituir. Els límits de context i de generació es poden modificar. El model es pot executar sense connexió a internet, sense registres centralitzats i sense que el laboratori que el va crear tingui cap mecanisme per saber qui l’està utilitzant o amb quina finalitat.

Fins i tot quan una part de l’alineament està incorporada als pesos mitjançant l’entrenament, els pesos oberts permeten aplicar fine-tuning, fusió de models, edició de representacions o altres tècniques destinades a reduir les negatives. No sempre és trivial eliminar completament un comportament de seguretat sense degradar altres capacitats, però tampoc cal aconseguir una desalineació perfecta. N’hi ha prou que el model deixi de refusar una proporció suficient de les tasques útils per a l’atacant.

La diferència essencial és que, en un servei tancat, l’adversari intenta superar una frontera gestionada activament pel proveïdor. En un model de pesos oberts, l’adversari és l’administrador del sistema.

La seguretat ja no es podrà basar en la negativa del model

Kimi K3 encara pot quedar lluny d’aquest llindar. És possible que destaqui en programació i treball agentiu, però que no tingui la precisió, l’autonomia o la capacitat d’experimentació necessàries per convertir-se en una eina d’explotació de primer nivell. Els models anteriors de Moonshot ja eren competitius en tasques estructurades de ciberseguretat, però continuaven per darrere dels sistemes més avançats en descobriment i validació de vulnerabilitats.

El problema és que no necessitem que Kimi K3 travessi aquesta frontera aquesta setmana. Només necessitem assumir que, tard o d’hora, algun model de pesos oberts ho farà.

La indústria s’ha acostumat a discutir la seguretat dels models com si les salvaguardes del proveïdor fossin una propietat permanent de la tecnologia. No ho són. Són una característica del desplegament oficial. Quan els pesos es poden descarregar, copiar i modificar, aquestes salvaguardes es converteixen en una opció que l’operador pot conservar o descartar.

A partir d’aquell moment, no tindrà gaire sentit confiar que el model es negarà a ajudar un atacant. La defensa haurà de funcionar encara que el model col·labori plenament amb ell.

Això implica reduir dràsticament el temps entre el descobriment d’una vulnerabilitat i la seva correcció, automatitzar la validació i el desplegament de pedaços, reforçar l’aïllament dels sistemes, eliminar credencials de llarga durada, limitar els privilegis i assumir que qualsevol component exposat serà analitzat contínuament per agents automatitzats. OpenAI ja defensa que la IA ha canviat la física de la ciberseguretat: el coll d’ampolla comença a deixar de ser trobar vulnerabilitats i passa a ser corregir-les prou de pressa.

Aquesta transició afavoreix els defensors més sofisticats, que també podran utilitzar els models per auditar milions de línies de codi, reproduir errors i generar correccions. Tanmateix, no tots els participants parteixen de la mateixa posició. Les grans empreses poden desplegar agents de seguretat, equips de resposta i pipelines automatitzats. Un projecte de programari lliure mantingut per dues persones, una administració local o una pime amb sistemes antics difícilment podran reaccionar a la mateixa velocitat.

La vulnerabilitat no serà necessàriament que els atacants tinguin una intel·ligència superior. Serà que podran aplicar una intel·ligència prou bona, simultàniament, contra milers d’objectius.

La proliferació serà irreversible

Un servei al núvol es pot retirar. Una API es pot restringir. Un govern pot imposar controls d’exportació. Un laboratori pot canviar els requisits d’accés o reforçar la verificació d’identitat.

Uns pesos publicats a internet no es poden recuperar.

Poden aparèixer còpies en repositoris, xarxes P2P, proveïdors estrangers i sistemes privats. Poden ser quantitzats, especialitzats i integrats en agents que combinin navegació web, execució de codi, escàners de vulnerabilitats i infraestructures de comandament i control. Encara que Moonshot retirés posteriorment el model, les còpies continuarien existint.

Aquesta és la raó per la qual un Kimi K3 amb capacitats comparables a Fable o Sol representaria alguna cosa més que un nou competidor xinès per a OpenAI i Anthropic. Seria la demostració que les capacitats cibernètiques de frontera ja no es poden mantenir dins de serveis vigilats i revocables.

No podem concloure que Kimi K3 sigui aquest model abans de provar-lo. Pot resultar menys revolucionari del que suggereixen les filtracions, i la seva mida tampoc garanteix automàticament una gran capacitat d’explotació. Però el seu llançament ens obliga a mirar una mica més enllà del benchmark de la setmana.

La qüestió no és si podem construir barreres prou bones al voltant de Fable o Sol. La qüestió és què farem quan aparegui un model semblant que qualsevol persona pugui descarregar, modificar i executar sense demanar permís.

Potser Kimi K3 encara no ens farà travessar aquesta frontera. El que sembla cada vegada menys creïble és pensar que la frontera continuarà intacta durant gaire temps.