Un mes despues del lanzamiento de Project Glasswing, Anthropic publico los primeros resultados del programa. La compañia asegura que su modelo Claude Mythos Preview, en conjunto con unos 50 socios, identifico mas de 10.000 vulnerabilidades de severidad alta o critica en software considerado de infraestructura.

El modelo ya detecta fallas de seguridad mas rapido de lo que los equipos pueden verificar, divulgar y parchar, escribe Anthropic en su blog. La empresa retiene detalles tecnicos especificos porque el estandar de la industria fija un plazo de 90 dias para divulgar vulnerabilidades nuevas y la mayoria de los hallazgos todavia no pueden describirse sin poner en riesgo a los usuarios finales.

¿Que es Project Glasswing y quienes son sus socios?

Los socios de Glasswing operan o construyen software que es la base de internet y de otras infraestructuras criticas, segun Anthropic. Cada uno encontro cientos de vulnerabilidades criticas. Varios reportan ademas que su tasa de descubrimiento de bugs se multiplico por mas de diez.

  • Cloudflare marco 2.000 bugs, 400 de severidad alta o critica. Su tasa de falsos positivos fue menor que la de los testers humanos.
  • Mozilla encontro y arreglo 271 vulnerabilidades en Firefox 150, mas de diez veces lo que su predecesor, Claude Opus 4.6, habia detectado en Firefox 148.
  • Palo Alto Networks envio cinco veces mas parches que lo habitual en su ultima release.
  • Microsoft dijo que la cantidad de parches nuevos "seguira creciendo por un tiempo".
  • Oracle afirma que esta encontrando y reparando fallas varias veces mas rapido que antes.

En uno de los partners bancarios, el modelo ayudo ademas a bloquear una transferencia fraudulenta por mas de 1,5 millones de dolares, segun la empresa.

Revisiones externas respaldan los numeros. El AI Security Institute del Reino Unido afirma que el ultimo checkpoint de Mythos Preview es el primer modelo en resolver completamente sus dos ciber-ranges internos, simulaciones de ataques en multiples etapas. La plataforma de seguridad independiente XBOW lo califica como un salto mayor respecto a todos los modelos previos, citando una "precision sin precedentes". Anthropic agrega que Mythos Preview tambien lidera los benchmarks academicos ExploitBench y ExploitGym, con GPT-5.5 cerca en la mayoria de las pruebas y ya disponible publicamente.

Mas de 6.000 fallas potenciales en proyectos open source

En paralelo al trabajo con los partners, Anthropic dice que escaneo mas de 1.000 proyectos open source con Mythos Preview. El modelo estima 6.202 vulnerabilidades de severidad alta o critica, con 23.019 hallazgos totales considerando todos los niveles de severidad.

Firmas independientes de seguridad y en parte la propia Anthropic revisaron hasta ahora 1.752 de los hallazgos de severidad alta o critica. El 90,6% resultaron verdaderos positivos. El 62,4% fueron confirmados como genuinamente altos o criticos. Sobre esas tasas de triage, Anthropic estima que Mythos Preview descubrio cerca de 3.900 vulnerabilidades confirmadas de severidad alta o critica en codigo open source.

De las 23.019 vulnerabilidades encontradas en proyectos open source, solo 97 fueron parchadas. El embudo se cae fuerte entre descubrimiento, triage, divulgacion y parche.

Varios mantenedores de proyectos open source le pidieron a Anthropic ralentizar las divulgaciones porque "necesitan mas tiempo para diseñar los parches", dice el post. En promedio, arreglar un bug de severidad alta o critica toma dos semanas. Hasta ahora se reportaron 530 bugs de ese nivel a los mantenedores. De esos, 75 fueron parchados y 65 obtuvieron advisory publico. Otras 827 vulnerabilidades confirmadas siguen esperando divulgacion. El cuadro empeora porque los mantenedores ya estan saturados por reportes de baja calidad generados por IA.

¿Cuanto dura el periodo de transicion de alto riesgo?

Anthropic dice que modelos con capacidades similares de ciberseguridad pronto van a estar ampliamente disponibles. Algunos probablemente ya lo estan. El GPT-5.5 de OpenAI calza con el perfil, y existe ademas una variante especializada llamada GPT-5.5 Cyber, aunque no esta del todo claro que las diferencia.

Sea como sea, estas nuevas capacidades crean un periodo en el que las vulnerabilidades se encuentran rapido pero se parchan lento. Esa brecha trae riesgos nuevos, dice Anthropic. Los modelos clase Mythos reducen drasticamente el tiempo y costo de encontrar y explotar fallas. Ninguna empresa, incluida la propia Anthropic, construyo todavia salvaguardas suficientemente fuertes para frenar el abuso de estos modelos y prevenir daño serio.

Con el tiempo, estos modelos deberian ayudar a los desarrolladores a construir software bastante mas seguro al detectar bugs antes del despliegue. Por ahora, Anthropic dice que los equipos de software deben acortar sus ciclos de parche y hacer las actualizaciones lo mas faciles posible para los usuarios. Los defensores de red deben volver a lo basico: autenticacion multifactor, configuraciones endurecidas y logging exhaustivo.