La primera batalla del Proyecto Glasswing de Anthropic ha sido un éxito rotundo. Mythos encontró 10,000 vulnerabilidades críticas en solo 30 días, ¡e incluso interceptó 1.5 millones de dólares en fraude telefónico! Frente al aluvión de informes, los programadores humanos también se rindieron clamando: «¡Por favor, dejen de encontrar más, es imposible arreglarlas todas!»
Recién acaba de suceder: Anthropic ha lanzado otra noticia que ha conmocionado a los círculos tecnológicos y de seguridad globales.
¡El informe del primer mes del «Proyecto Glasswing» ha sido publicado oficialmente!
En esta operación secreta, Anthropic utilizó por primera vez su próximo modelo de lenguaje de última generación: Claude Mythos Preview.
En apenas 30 días, en colaboración con unas 50 grandes empresas de Internet y desarrolladores de software de infraestructura crítica a nivel mundial, ¡logró desenterrar más de 10,000 vulnerabilidades de software de alto riesgo o severidad!
Lo que resulta aún más impactante es que no solo puede encontrar vulnerabilidades, sino que también puede construir cadenas de ataque «de extremo a extremo» de manera automática.
¡Incluso, en las operaciones reales de un banco colaborador, logró interceptar con éxito una transferencia fraudulenta de 1.5 millones de dólares!
Por un momento, toda la comunidad de seguridad quedó completamente conmocionada.
Algunos expertos en seguridad incluso exclamaron desesperados en X: «Los cimientos de Internet han sido revolcados por la IA... ¡realmente podríamos estar acabados!»
30 días de locura
Los gigantes tecnológicos globales experimentan de primera mano lo aterrador que es Mythos
En abril de 2026, Anthropic puso en marcha en secreto el Project Glasswing. El significado de este nombre es la esperanza de que el software de código cerrado y abierto más importante del mundo se vuelva transparente y seguro.
Los primeros en unirse a este programa fueron unos 50 desarrolladores de software de infraestructura crítica.
Cuando obtuvieron acceso de prueba a Claude Mythos Preview, en solo un mes, toda la percepción de la industria quedó completamente sacudida.
Veamos este informe deslumbrante:
Cloudflare informa que, en sus sistemas de ruta crítica extremadamente importantes, Mythos encontró de golpe ¡2000 vulnerabilidades! De ellas, 400 son de alto riesgo o severidad.
Lo más increíble es que el equipo de seguridad de Cloudflare exclamó: la tasa de falsos positivos de esta IA es incluso menor que la de los mejores evaluadores de seguridad humanos.
En las pruebas de la última versión del navegador Firefox 150 de Mozilla, Mythos reparó de una vez 271 vulnerabilidades de alto riesgo.
¡Esta cifra es más de 10 veces superior al número de vulnerabilidades encontradas en la versión Firefox 148 usando Opus 4.6!
El informe de OpenBSD es sencillamente espeluznante: ¡Mythos logró desenterrar en el código de OpenBSD un bug antiguo que había estado oculto durante ¡27 años enteros!
Y lo que es más, el modelo ni siquiera necesitó intervención humana, construyó por sí mismo la cadena completa de explotación de la vulnerabilidad.
El Instituto Británico de Seguridad en IA ofreció su respaldo oficial. Confirmaron que Mythos Preview es el primer modelo de IA del mundo capaz de superar de extremo a extremo y por completo el entorno de pruebas de red doble que ellos establecieron.
En la defensa práctica, Mythos también demostró su poder.
En un banco colaborador, un grupo de hackers ya había logrado infiltrarse en el correo electrónico de un cliente y había utilizado tecnología de clonación de voz por IA para realizar una llamada fraudulenta.
¡Justo en el momento crítico en que la transferencia de 1.5 millones de dólares estaba a punto de ser desviada, el modelo Mythos, analizando en tiempo real la cadena de comportamientos anómalos, identificó instantáneamente la estafa y bloqueó la transacción por la fuerza!
«Nosotros, este grupo de expertos en seguridad humanos, parecíamos primitivos con lanzas, mirando pasar un caza F-22 por encima de nuestras cabezas», comentó con asombro un investigador de seguridad que participó en la prueba interna en X.
¡Miles de millones de dispositivos expuestos en todo el mundo, salvados por Mythos!
Sin embargo, Mythos también ha desatado una crisis de capacidad productiva.
En el pasado, el cuello de botella principal en el mundo de la ciberseguridad era descubrir vulnerabilidades. Encontrar una vulnerabilidad crítica de día cero podía llevar a los mejores hackers de sombrero blanco semanas o incluso meses.
Ahora, Claude Mythos ha reducido el coste y el tiempo de encontrar vulnerabilidades a «prácticamente cero».
Anthropic lo utilizó para escanear más de 1000 proyectos de código abierto fundamentales que sostienen el funcionamiento de Internet a nivel global. El resultado es escalofriante:
¡Se detectaron un total de 23,019 vulnerabilidades, incluyendo 6,202 evaluadas por Mythos como de alto riesgo o severidad!
Para asegurarse de que no era la IA «hablando sin sentido», Anthropic colaboró con 6 de las principales empresas independientes de investigación de seguridad del mundo para realizar una verificación cruzada manual.
El resultado demostró: ¡La precisión de verdaderos positivos de la IA (es decir, vulnerabilidades reales) alcanzó un asombroso 90.6%! Finalmente se confirmó que 1,094 de ellas eran vulnerabilidades de alto riesgo o severidad, demostradas con pruebas irrefutables.
Tablero de vulnerabilidades de código abierto, mostrando todas las vulnerabilidades por nivel de severidad
Aquí hay que mencionar un caso extremadamente típico: wolfSSL.
wolfSSL es una biblioteca criptográfica de código abierto muy famosa, utilizada por miles de millones de dispositivos en todo el mundo (incluyendo dispositivos IoT, routers, coches inteligentes, etc.).
Sin embargo, ante Mythos, las defensas de wolfSSL fueron como si no existieran. Mythos no solo descubrió una vulnerabilidad lógica extremadamente sutil, ¡sino que incluso escribió por sí mismo un conjunto de código de ataque!
Utilizando este código, los hackers podían falsificar certificados digitales a su antojo, creando sitios web bancarios o páginas de inicio de sesión de correo electrónico extremadamente convincentes, sin dejar ningún rastro de sospecha.
Si esta vulnerabilidad no hubiera sido descubierta y reportada para su reparación con antelación por Mythos, de haber sido aprovechada por el crimen organizado, las consecuencias habrían sido impensables.
Miles de millones de dispositivos en todo el mundo han estado funcionando al borde del peligro. Esta vez, fue Mythos quien los rescató.
Un giro épico: Encontrar bugs ya no es el cuello de botella, ¡arreglarlos sí lo es!
A medida que avanzaba el Project Glasswing, surgió un fenómeno peculiar nunca antes visto en la historia de la ciberseguridad.
«El cuello de botella de la ciberseguridad ya no es encontrar vulnerabilidades. El cuello de botella ahora es: la velocidad a la que los humanos reparan las vulnerabilidades está muy por detrás de la velocidad a la que la IA las descubre.»
Para los mantenedores de las comunidades de código abierto, esto es sencillamente una pesadilla.
Los informes de vulnerabilidades de Anthropic caen como copos de nieve sobre las principales comunidades de código abierto. Los autores ya no pueden manejar la situación.
«¡No encuentren más! ¡Les suplicamos que reduzcan la velocidad! ¡Realmente no podemos repararlas todas!»
Según reveló Anthropic, recientemente varios mantenedores de código abierto han enviado correos electrónicos «suplicando clemencia», pidiéndoles que reduzcan el ritmo de divulgación de vulnerabilidades. Porque la falta de personal es grave.
Incluso al recibir informes detallados, un programador humano tarda un promedio de dos semanas completas en reparar una vulnerabilidad de alto riesgo.
Actualmente, de las 1129 vulnerabilidades reportadas por Anthropic a los autores de código abierto, solo 75 vulnerabilidades de alto riesgo han sido parcheadas con éxito. ¡El ecosistema de seguridad actual está gravemente sobrecargado!
La magia vence a la magia: La defensa de Anthropic
Dado que los humanos ya no pueden reparar todo, usemos magia para vencer a la magia.
Anthropic lanzó decisivamente la solución del «kit de herramientas para defensores».
En primer lugar, el gran lanzamiento de Claude Security.
Esta es una herramienta de automatización creada específicamente para los clientes de la versión empresarial de Claude. Su lógica es: No solo te ayudo a encontrar vulnerabilidades en tu base de código, sino que también escribo directamente los parches de reparación por ti.
¡En solo tres semanas desde su lanzamiento, los clientes empresariales ya habían utilizado Opus 4.7 para reparar a velocidad de la luz ¡más de 2100 vulnerabilidades!
En segundo lugar, el «Programa de Verificación de Red».
Anthropic comenzó a permitir que sombreros blancos profesionales, testers de penetración y equipos de ejercicios rojo/azul, bajo premisas legales y de cumplimiento, eliminen algunas de las «restricciones de seguridad» del modelo Claude, para realizar investigaciones legítimas de vulnerabilidades y pruebas en entornos controlados.
Lo más interesante es que Anthropic hizo de código abierto directamente una «línea de producción para atrapar BUGs».
1 Instrucciones personalizadas (Skills): Enseña cómo hacer que la IA mantenga el enfoque y realice revisiones profundas de código.
2 Marco de automatización (Harness): Un sistema de mando que permite a Claude recorrer automáticamente vastas bases de código, clonar sub-agentes para escaneos paralelos, clasificar automáticamente vulnerabilidades y generar informes.
3 Generador de Modelado de Amenazas (Threat Model Builder): Simplemente introduce el código, y la IA identificará automáticamente los «puntos débiles» más vulnerables a ataques en el sistema, priorizando las defensas en esas áreas.
El gigante de redes Cisco también se pronunció, anunciando la liberación como código abierto del sistema «Foundry Security Spec», para construir líneas de defensa de evaluación de seguridad similares a las de Mythos.
A partir de ahora, será la IA quien encuentre las vulnerabilidades, luego otra IA generará los parches, y los humanos solo se encargarán de la revisión final.
Esta es la forma definitiva de la ciberseguridad del futuro.
La espada de Damocles: ¿Cuándo se lanzará públicamente Mythos?
Entonces, ¿cuándo se lanzará oficialmente Claude Mythos?
La postura de Anthropic sigue siendo muy cautelosa en este momento.
Indican que una vez construidas «barreras de seguridad más fuertes y de mayor nivel», ¡los modelos del nivel Mythos serán lanzados definitivamente al público!
Por ahora no puede liberarse, porque es demasiado peligroso.
Como señala el informe de pruebas de XBOW: Mythos Preview logró una «ventaja significativa de una generación sobre todos los modelos existentes» en las pruebas de referencia de explotación de vulnerabilidades web, mostrando incluso una «precisión absoluta y sin precedentes» en la generación de cada Token.
Anthropic es muy consciente de que actualmente ninguna empresa en el mundo posee mecanismos de seguridad lo suficientemente potentes como para garantizar al 100% que este modelo no sea mal utilizado.
Si hoy mismo se hiciera pública la API de Mythos, mañana las organizaciones de hackers globales, e incluso ciertos grupos extremistas, podrían producir a bajo costo miles de herramientas de explotación Zero-day de manera masiva.
¡Las computadoras de la gente común, los sistemas de hospitales, los centros de control de la red eléctrica, enfrentarían una catástrofe!
Las recomendaciones de Anthropic son:
1 ¡Acortar el ciclo de parches! ¡Acortar el ciclo de parches! ¡Acortar el ciclo de parches! Dejen de acumular y lanzar actualizaciones una vez al mes, utilicen las herramientas de IA existentes (como Opus 4.7) para entregar las reparaciones de seguridad a los usuarios lo antes posible.
2 Estrategia de actualización forzosa. Los desarrolladores deben hacer que los usuarios instalen las actualizaciones de la manera más automática posible; para aquellos usuarios que se nieguen obstinadamente a actualizar, aplicar la desconexión forzosa de la red. Regresar a los fundamentos básicos de seguridad.
3 Fortalecer la autenticación multifactor (MFA), reforzar las configuraciones por defecto, mantener registros detallados. La calma antes de la tormenta.
La calma antes de la tormenta
Un mes, más de 50 gigantes colaborando, más de 10,000 vulnerabilidades críticas, interceptación de 1.5 millones de dólares en fraude telefónico... Estos son solo los logros de un ensayo preliminar de Claude Mythos Preview.
Ahora, los programadores humanos están experimentando un período de dolores de parto: abrumados por los informes de la IA, reparando bugs que han estado latentes durante dos o tres décadas.
Pero como Anthropic vislumbra:
«Después de superar estos riesgos, un mundo emocionante nos está llamando: en ese mundo, el código importante de la humanidad será refinado y será cientos de veces más sólido que hoy, y los ataques de hackers se convertirán en un término histórico extremadamente raro.»
Agradezcamos en silencio a esas IAs que han revisado incansablemente cientos de millones de líneas de código.
Es muy probable que acaben de protegerte de una explosión nuclear mortal.
Referencias:
https://x.com/AnthropicAI/status/20579091025425495
Este artículo proviene del cuenta de WeChat público «新智元», autor: ASI启示录, editor: Aeneas Moses
