El mes pasado, Anthropic lanzó Project Glasswing, su esfuerzo colaborativo para asegurar el software más crítico del mundo antes de que modelos de IA cada vez más capaces puedan ser dirigidos contra él.
Desde entonces, la compañía y sus aproximadamente 50 socios han usado Claude Mythos Preview para encontrar más de 10.000 vulnerabilidades de severidad alta o crítica en el software más sistémicamente importante del planeta. El progreso de la seguridad de software solía estar limitado por la velocidad a la que podían descubrirse nuevas vulnerabilidades. Ahora está limitado por la velocidad a la que pueden verificarse, divulgarse y parchearse.
¿Qué evidencia respalda el desempeño de Mythos Preview?
La industria del software disclosa nuevas vulnerabilidades 90 días después de su hallazgo (o cerca de 45 días tras la disponibilidad del parche). Eso convierte a las vulnerabilidades divulgadas en un indicador rezagado del avance de las capacidades cibernéticas de los modelos: aún no es seguro detallar plenamente lo encontrado por los socios sin poner en riesgo a usuarios finales.
Tras un mes, la mayoría de los socios encontraron cientos de vulnerabilidades de severidad alta o crítica en sus propios sistemas. En conjunto, suman más de diez mil. Varios reportaron que su tasa de descubrimiento de bugs subió más de 10 veces.
- Cloudflare encontró 2.000 bugs (400 de severidad alta o crítica) en sus sistemas de path crítico, con una tasa de falsos positivos que su equipo considera mejor que la de testers humanos.
- El UK AI Security Institute reporta que Mythos Preview es el primer modelo en resolver de extremo a extremo sus dos cyber ranges (simulaciones de ataques multistep).
- Mozilla encontró y parchó 271 vulnerabilidades en Firefox 150 mientras testeaba Mythos Preview, más de 10 veces lo que halló en Firefox 148 con Claude Opus 4.6.
- XBOW reporta que Mythos Preview es un "salto significativo sobre todos los modelos existentes" en su benchmark de explotación web.
- Los benchmarks académicos ExploitBench y ExploitGym muestran a Mythos Preview como el mejor performer.
El efecto agregado ya se nota en la cadena de parches. El último release de Palo Alto Networks incluyó más de 5 veces los parches habituales. Microsoft confirmó que el número de parches "seguirá creciendo por un tiempo". Oracle reportó velocidad de detección y respuesta varias veces mayor a la previa.
Mythos Preview también ayudó en otros tipos de trabajo de seguridad. En uno de los bancos socios de Glasswing, el modelo detectó y previno una transferencia fraudulenta de USD 1,5 millones después de que un atacante comprometiera el correo de un cliente y realizara llamadas spoofing.
¿Qué pasa con el código open source?
Durante los últimos meses Anthropic usó Mythos Preview para escanear más de 1.000 proyectos open source que sostienen gran parte de internet y de su propia infraestructura. El modelo halló lo que estima son 6.202 vulnerabilidades de severidad alta o crítica (sobre 23.019 totales).
De las 1.752 alta o críticas ya evaluadas por seis firmas de investigación independientes, 90,6% (1.587) resultaron verdaderos positivos y 62,4% (1.094) quedaron confirmadas como alta o crítica. Proyectando estas tasas post-triage, Anthropic estima que el escaneo terminará surfeando cerca de 3.900 vulnerabilidades graves en código abierto, sumadas a las de los socios.
Un ejemplo: en wolfSSL, librería criptográfica usada por miles de millones de dispositivos, Mythos Preview construyó un exploit que permitía forjar certificados (CVE-2026-5194). El parche ya está liberado y Anthropic prometió un análisis técnico completo en las próximas semanas.
El proceso de triaje es intensivo: Anthropic o un partner externo reproduce el issue, reevalúa severidad, verifica si hay un fix disponible y entonces escribe un reporte detallado al mantenedor. El cuidado es necesario, dicen, porque los mantenedores de open source ya están saturados de reportes de bugs AI-generated de baja calidad. Varios mantenedores pidieron a Anthropic bajar el ritmo de divulgaciones porque necesitan más tiempo para diseñar parches. En promedio, un bug alta o crítica hallado por Mythos Preview tarda dos semanas en parchearse.
Hasta ahora se reportaron 530 bugs alta o crítica a mantenedores. De esos, 75 fueron parchados y 65 ya tienen advisories públicos. Hay otros 827 confirmados a la espera de divulgación. El número bajo de parches refleja tres factores: la ventana de 90 días aún está abierta, hay parches sin advisory público que requieren rescaneo, y el ecosistema de seguridad ya está sobrecargado.
¿Cómo se adapta la ciberdefensa a esta fase?
Modelos con capacidades cibernéticas similares a Mythos Preview estarán disponibles ampliamente pronto. Anthropic plantea que la industria necesita un esfuerzo conjunto mayor para procesar el volumen de hallazgos que estos modelos generarán. La facilidad para encontrar vulnerabilidades, contrastada con la dificultad para fijarlas, configura el desafío central de ciberseguridad para los próximos años.
