El Mythos de Claude de Anthropic encontró 10,000 vulnerabilidades críticas en un mes. Los parches no pueden mantenerse al día.

El Mythos de Claude de Anthropic encontró 10,000 vulnerabilidades críticas en un mes. Los parches no pueden mantenerse al día.

      TL;DREl proyecto Glasswing de Anthropic encontró más de 10,000 fallas críticas en más de 1,000 proyectos de código abierto en un mes. Solo 97 han sido parcheadas.

      Anthropic reveló el viernes que el Proyecto Glasswing, su iniciativa de ciberseguridad restringida, ha descubierto más de 10,000 candidatos a vulnerabilidades de alta o crítica severidad en algunos de los software más sistemáticamente importantes del mundo desde que el programa se puso en marcha hace un mes. De esos, 1,726 han sido validados como verdaderos positivos. 1,094 son fallas confirmadas de alta o crítica severidad. Solo 97 han sido parcheadas.

      La diferencia entre esos números es la historia. El Claude Mythos Preview de Anthropic, un modelo de frontera con capacidades especializadas para encontrar vulnerabilidades en el código fuente, puede identificar fallas a un ritmo que el ecosistema de código abierto no puede absorber. Los 6,202 candidatos de alta o crítica severidad afectan a más de 1,000 proyectos de código abierto. Se han emitido ochenta y ocho avisos. La tasa de descubrimiento es órdenes de magnitud más rápida que la tasa de remediación.

      "La relativa facilidad de encontrar vulnerabilidades en comparación con la dificultad de solucionarlas representa un gran desafío para la ciberseguridad", reconoció Anthropic. La empresa está instando a los desarrolladores de software a acortar los ciclos de parcheo y hacer que las correcciones de seguridad estén disponibles lo más rápido posible. Oracle ya ha pasado de lanzamientos de parches trimestrales a mensuales para abordar la aceleración. Microsoft ha advertido que el número de parches mensuales que espera lanzar "seguirá aumentando durante algún tiempo".

      El 💜 de la tecnología de la UELas últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora!El hallazgo más notable hasta ahora es una falla crítica en WolfSSL (CVE-2026-5194, puntuación CVSS 9.1), una biblioteca TLS embebida de uso generalizado, que podría permitir a un atacante falsificar certificados e impersonar un servicio legítimo. WolfSSL se utiliza en dispositivos IoT, sistemas automotrices y entornos de control industrial donde una vulnerabilidad de falsificación de certificados tiene consecuencias mucho más allá de la seguridad web convencional.

      Glasswing opera a través de un modelo de asociación restringida. Aproximadamente 50 organizaciones, descritas por Anthropic como los defensores cibernéticos más sistemáticamente importantes, tienen acceso a Claude Mythos Preview. El modelo no ha sido liberado al público en general. XBOW, una plataforma de seguridad ofensiva autónoma, describió Mythos Preview como "un gran avance" que es "sustancialmente mejor que los modelos anteriores para encontrar candidatos a vulnerabilidades" y "hábil en analizar código fuente con una mentalidad de seguridad". El análisis de Cloudflare encontró que el modelo sobresale en convertir vulnerabilidades individuales en cadenas de ataque de extremo a extremo, una capacidad que es tan útil para los defensores que construyen modelos de amenazas como peligrosa en manos equivocadas.

      Las aplicaciones defensivas se extienden más allá del descubrimiento de vulnerabilidades. En un caso, un banco socio de Glasswing utilizó Claude Mythos para detectar y prevenir una transferencia bancaria fraudulenta de $1.5 millones después de que un atacante violara la cuenta de correo electrónico de un cliente y realizara llamadas telefónicas falsas. El modelo identificó el patrón de fraude antes de que se ejecutara la transferencia. El caso de uso ilustra el argumento de Anthropic de que los modelos de IA de frontera pueden proporcionar ventajas asimétricas a los defensores, pero solo si el acceso se restringe a organizaciones con la madurez para usarlos de manera responsable.

      El momento se alinea con una aceleración más amplia en las divulgaciones de seguridad relacionadas con la IA. Las vulnerabilidades Claw Chain de Cyera en OpenClaw, divulgadas a principios de este mes, demostraron cómo los atacantes pueden utilizar los propios privilegios de sandbox de un agente de IA como arma. La auditoría de Koi Security de ClawHub encontró 341 entradas maliciosas entre 2,857 habilidades de agentes de IA disponibles. El patrón es consistente: la IA está creando simultáneamente nuevas superficies de ataque y proporcionando herramientas más poderosas para encontrar fallas en las existentes. La pregunta es cuál lado de la ecuación se mueve más rápido.

      Anthropic ha lanzado un Programa de Verificación Cibernética que permite a profesionales de seguridad verificados usar Claude sin restricciones para fines legítimos, incluyendo investigación de vulnerabilidades, pruebas de penetración y red teaming. OpenAI ha introducido un programa paralelo llamado Daybreak, que proporciona acceso similar a GPT-5.5-Cyber. Ni Mythos Preview ni GPT-5.5-Cyber han sido liberados al público en general debido a preocupaciones de que no existen salvaguardias adecuadas para prevenir el uso indebido a gran escala.

      La dinámica competitiva entre Anthropic y OpenAI en el espacio de la ciberseguridad se está intensificando. Ambas empresas están posicionando sus modelos de frontera como infraestructura esencial para la defensa cibernética nacional y corporativa, mientras que simultáneamente restringen el acceso para evitar que las mismas capacidades se utilicen de manera ofensiva. La naturaleza de doble uso de la tecnología crea un desafío de políticas que ninguna de las empresas ha resuelto completamente: si los modelos con capacidades de nivel Mythos se vuelven ampliamente disponibles, como Anthropic mismo reconoce que es probable en un futuro cercano, el modelo actual de restringir el acceso a 50 socios de confianza no se sostendrá.

      Los modelos Claude de Anthropic disponibles públicamente ya están entre los asistentes de codificación más capaces del mercado. La brecha entre lo que Mythos puede hacer y lo que Claude de cara al público puede hacer se está reduciendo con cada lanzamiento. Anthropic está instando a las organizaciones a prepararse para un mundo en el que estas capacidades sean ampliamente accesibles, endureciendo configuraciones de red, aplicando autenticación multifactor y manteniendo registros completos para la detección y respuesta.

      Diez mil candidatos a vulnerabilidades en un mes de 50 socios utilizando un modelo. El ecosistema de software ahora tiene una herramienta que puede encontrar fallas más rápido de lo que los desarrolladores pueden solucionarlas. Esa es tanto la promesa como el problema. Anthropic llama a Glasswing una ventaja asimétrica para los defensores. Lo es. Pero las ventajas asimétricas tienden a ser temporales, y el reloj en esta ya está corriendo.

Otros artículos

La solicitud de salida a bolsa de SpaceX revela la contradicción de Musk sobre la energía limpia. xAI quema gas mientras Tesla vende energía solar. La solicitud de salida a bolsa de SpaceX revela la contradicción de Musk sobre la energía limpia. xAI quema gas mientras Tesla vende energía solar. xAI gastó $2.8 mil millones en turbinas de gas mientras Tesla vende paneles solares. La S-1 de SpaceX presenta la energía solar basada en el espacio como la solución. Las cuentas aún no cuadran. La Peec AI de Berlín más que duplicó sus ingresos a $10M ARR en seis meses. Su producto ayuda a las marcas a aparecer en ChatGPT. La Peec AI de Berlín más que duplicó sus ingresos a $10M ARR en seis meses. Su producto ayuda a las marcas a aparecer en ChatGPT. La startup GEO recaudó su Serie A con $4M ARR hace seis meses. Ahora rastrea $10M, con vallas publicitarias colocadas fuera de las oficinas rivales en Berlín. El viceprimer ministro de Corea del Sur dice que la riqueza de la IA debe beneficiar al público. La huelga de Samsung mostró por qué. El viceprimer ministro de Corea del Sur dice que la riqueza de la IA debe beneficiar al público. La huelga de Samsung mostró por qué. La viceprimer ministra Bae advirtió que los conflictos laborales impulsados por la IA seguirán ocurriendo a medida que surjan "superempresas" y pidió una "sociedad inclusiva de IA". La Peec AI de Berlín más que duplicó sus ingresos a $10M ARR en seis meses. Su producto ayuda a las marcas a aparecer en ChatGPT. La Peec AI de Berlín más que duplicó sus ingresos a $10M ARR en seis meses. Su producto ayuda a las marcas a aparecer en ChatGPT. La startup GEO recaudó su Serie A con $4M ARR hace seis meses. Ahora rastrea $10M, con vallas publicitarias colocadas fuera de las oficinas rivales en Berlín. Tesla finalmente lanzó FSD en China. Sus rivales han estado vendiendo coches autónomos allí durante años. Tesla finalmente lanzó FSD en China. Sus rivales han estado vendiendo coches autónomos allí durante años. El FSD (Supervisado) de Tesla ahora está listado para China una semana después de que Musk se uniera a Trump en Beijing. Los rivales chinos ya ofrecen autonomía de Nivel 3. El viceprimer ministro de Corea del Sur dice que la riqueza de la IA debe beneficiar al público. La huelga de Samsung mostró por qué. El viceprimer ministro de Corea del Sur dice que la riqueza de la IA debe beneficiar al público. La huelga de Samsung mostró por qué. El viceprimer ministro Bae advirtió que los conflictos laborales impulsados por la IA seguirán ocurriendo a medida que surjan "superempresas" y pidió una "sociedad inclusiva de IA".

El Mythos de Claude de Anthropic encontró 10,000 vulnerabilidades críticas en un mes. Los parches no pueden mantenerse al día.

Los socios del Proyecto Glasswing utilizaron Claude Mythos para encontrar 1,094 fallos confirmados de alta gravedad en más de 1,000 proyectos de código abierto. Solo 97 han sido corregidos.