Por Canuto Anthropic aseguró que su iniciativa Project Glasswing ya permitió detectar más de 10.000 vulnerabilidades de gravedad alta o crítica en software clave para internet e infraestructura esencial. El anuncio sugiere un cambio profundo en ciberseguridad: encontrar fallas empieza a ser mucho más rápido que verificarlas, divulgarlas y corregirlas.
***
- Anthropic dijo que sus socios hallaron más de 10.000 vulnerabilidades altas o críticas usando Claude Mythos Preview.
- En más de 1.000 proyectos de código abierto, la compañía estimó 6.202 fallas graves y validó 1.587 hallazgos como verdaderos positivos.
- La empresa advirtió que el nuevo cuello de botella ya no es descubrir errores, sino clasificarlos, reportarlos y desplegar parches a tiempo.
🚨 Descubren 10,000 vulnerabilidades críticas con IA 🚨
Anthropic reporta que su Project Glasswing, en colaboración con 50 socios, identificó más de 10,000 fallas en software clave.
La rapidez en detectar fallas supera ahora a la de corregirlas.
Empresas como Cloudflare y… pic.twitter.com/8tNxLmHoHs
— Diario฿itcoin (@DiarioBitcoin) May 23, 2026
La firma de IA Anthropic presentó una actualización inicial de Project Glasswing, su programa colaborativo orientado a reforzar software crítico antes de que modelos cada vez más capaces puedan ser utilizados en su contra. Según la compañía, en apenas un mes de trabajo junto a unos 50 socios, Claude Mythos Preview ayudó a encontrar más de 10.000 vulnerabilidades de gravedad alta o crítica en algunos de los sistemas más relevantes para el funcionamiento de internet y otra infraestructura esencial.
El dato central no solo apunta a un salto en capacidad técnica. También expone un cambio estructural en la ciberseguridad moderna. Si antes el reto principal era descubrir nuevas fallas, ahora el problema es mucho más operativo: verificar cuáles son reales, reportarlas con cuidado, desarrollar parches y lograr que esos arreglos se implementen antes de que actores maliciosos aprovechen la ventana de exposición.
Para un público que sigue de cerca la IA, este avance tiene un doble filo. Por un lado, promete software más seguro a largo plazo. Por otro, eleva el riesgo durante una etapa de transición en la que las máquinas pueden detectar y, potencialmente, explotar errores a una velocidad mayor que la capacidad humana para responder.
En su informe Project Glasswing: An initial update, Anthropic explicó que todavía no puede detallar buena parte de los hallazgos por razones de divulgación coordinada. La práctica habitual de la industria establece que nuevas vulnerabilidades se publiquen 90 días después de ser descubiertas, o cerca de 45 días después de que haya un parche disponible, para dar tiempo a que los usuarios actualicen sus sistemas.
Los primeros resultados de Project Glasswing
Anthropic señaló que la mayoría de sus socios iniciales, entre ellos desarrolladores y mantenedores de software esencial para la infraestructura digital, ya encontró cientos de vulnerabilidades altas o críticas cada uno. En conjunto, el total superó las 10.000. Varias organizaciones, afirmó la empresa, reportaron que su ritmo de detección de errores aumentó más de diez veces.
Uno de los ejemplos más concretos fue Cloudflare. De acuerdo con los datos citados por Anthropic, esa empresa localizó 2.000 errores en sistemas de ruta crítica, de los cuales 400 fueron clasificados como de gravedad alta o crítica. Además, el equipo de Cloudflare consideró que la tasa de falsos positivos del modelo fue mejor que la de evaluadores humanos.
La actualización también incluyó referencias a pruebas y evaluaciones de terceros. El Instituto de Seguridad de la IA del Reino Unido reportó que Mythos Preview fue el primer modelo en resolver de extremo a extremo sus dos cyber ranges, que son simulaciones de ciberataques de múltiples pasos. Mozilla, por su parte, encontró y corrigió 271 vulnerabilidades en Firefox 150 al probar el modelo, una cifra que la compañía comparó con un resultado superior a diez veces lo observado antes con Claude Opus 4.6 en Firefox 148.
Anthropic agregó que la plataforma independiente de seguridad XBOW describió a Mythos Preview como un avance significativo sobre los modelos existentes en su benchmark de explotación web, con una precisión sin precedentes token por token. A esto se suman ExploitBench y ExploitGym, dos benchmarks académicos recientes para medir la capacidad de los modelos al desarrollar exploits, donde Mythos Preview también apareció como el mejor desempeño.
Más allá de la detección, la empresa sostuvo que ya observa un aumento en el ritmo de despliegue de parches. Citó que la última versión de Palo Alto Networks incluyó más de cinco veces más correcciones de lo habitual. También mencionó que Microsoft anticipó una tendencia creciente en el volumen de nuevos parches, mientras Oracle estaría encontrando y corrigiendo vulnerabilidades varias veces más rápido que antes.
El modelo también fue útil en otras tareas de seguridad. Anthropic aseguró que, en uno de sus bancos socios, Mythos Preview ayudó a detectar y prevenir una transferencia fraudulenta por USD $1.500.000 luego de que un actor de amenazas comprometiera la cuenta de correo de un cliente y realizara llamadas telefónicas suplantadas.
El impacto en el software de código abierto
Uno de los apartados más llamativos del reporte se centró en el ecosistema open source. Durante los últimos meses, Anthropic utilizó Mythos Preview para analizar más de 1.000 proyectos de código abierto, que en conjunto sostienen gran parte de internet y también una porción de su propia infraestructura.
Hasta ahora, la empresa estimó que el modelo detectó 23.019 vulnerabilidades en total dentro de esos proyectos. De ese grupo, 6.202 fueron clasificadas inicialmente por la IA como de gravedad alta o crítica. Luego, 1.752 de esas fallas graves o críticas fueron revisadas con detalle por seis firmas independientes de investigación en seguridad o, en un número pequeño de casos, por la propia Anthropic.
Según la compañía, 1.587 de esas 1.752 vulnerabilidades resultaron verdaderos positivos válidos, equivalente al 90,6%. Además, 1.094 fueron confirmadas como de gravedad alta o crítica, es decir, el 62,4% del conjunto analizado. Con esas tasas actuales de verificación posterior al triaje, Anthropic proyectó que, incluso sin nuevos hallazgos, Mythos Preview va camino de haber identificado casi 3.900 vulnerabilidades de gravedad alta o crítica en código abierto, adicionales a las encontradas por los socios de Project Glasswing.
La empresa remarcó que no planea detener ese trabajo pronto, por lo que espera que la cifra siga creciendo. Para ilustrar el alcance de este tipo de hallazgos, mencionó un caso en wolfSSL, una biblioteca criptográfica de código abierto conocida por su seguridad y usada por miles de millones de dispositivos. Anthropic afirmó que Mythos Preview construyó un exploit que habría permitido falsificar certificados y, por ejemplo, hacer pasar como legítimo un sitio falso de un banco o un proveedor de correo electrónico. Esa vulnerabilidad ya corregida fue asignada como CVE-2026-5194.
El ejemplo es especialmente sensible porque conecta el problema con confianza digital, autenticación y comunicaciones seguras. En términos prácticos, un fallo así podría permitir ataques de suplantación muy convincentes contra usuarios finales. Anthropic dijo que publicará un análisis técnico completo de ese caso en las próximas semanas.
Un cuello de botella humano en la era de la IA
La actualización deja claro que el principal límite ya no es el descubrimiento técnico. El proceso de triaje sigue siendo intensivo en trabajo humano. Primero, Anthropic o una firma externa debe reproducir el problema y reevaluar su gravedad. Luego, si la vulnerabilidad es real, hay que revisar si ya existe una corrección, redactar un informe detallado y comunicarse con los mantenedores del proyecto.
La empresa subrayó que esta parte exige cuidado adicional porque muchos mantenedores de código abierto ya están enfrentando una avalancha de reportes de baja calidad generados por IA. De hecho, señaló que varios de ellos han dicho tener capacidad severamente limitada, y algunos incluso pidieron que se reduzca el ritmo de las divulgaciones para contar con más tiempo al diseñar parches.
En promedio, un error de gravedad alta o crítica encontrado por Mythos Preview tarda dos semanas en corregirse. A petición de algunos mantenedores, Anthropic dijo que a veces divulga fallas directamente sin evaluación adicional. Bajo ese esquema, la empresa ya reportó 1.129 errores no revisados, de los cuales el modelo estimó que 175 eran de gravedad alta o crítica.
Según sus cálculos, hasta la fecha se han divulgado 530 errores de gravedad alta o crítica a mantenedores, basándose en la evaluación de gravedad de Claude en las divulgaciones directas y en la valoración de mantenedores o socios de seguridad cuando esa información está disponible. Además, existen otras 827 vulnerabilidades confirmadas, estimadas como altas o críticas con el mismo criterio, que la empresa intenta divulgar tan rápido como puede.
De las 530 fallas graves o críticas ya reportadas, 75 fueron corregidas y 65 recibieron avisos públicos. Anthropic atribuyó el bajo volumen relativo de parches a tres razones. La primera es que aún se encuentra en una etapa temprana de la ventana de 90 días fijada por su política de divulgación coordinada. La segunda es que algunas correcciones no se publican mediante avisos formales, lo que obliga a la empresa a rastrear cambios con ayuda de Claude. La tercera, y más preocupante, es que incluso un ritmo de divulgación relativamente lento ya está sumando carga a un ecosistema de seguridad que opera al límite.
Qué implica esto para desarrolladores y defensores
Anthropic advirtió que modelos con capacidades de ciberseguridad similares a Mythos Preview pronto estarán disponibles de manera mucho más amplia. Eso obliga a la industria del software a prepararse para un escenario donde las fallas puedan ser encontradas y explotadas con menos tiempo y menor costo.
El problema central es la brecha temporal entre descubrir una vulnerabilidad, desarrollar un parche y desplegarlo en producción. Mientras esa secuencia siga siendo lenta, la ventaja ofensiva crecerá. La empresa sostuvo que, a largo plazo, modelos de esta clase pueden ayudar a crear software mucho más seguro al detectar errores antes del despliegue. Sin embargo, en el período intermedio, la aceleración de los hallazgos sin una aceleración equivalente en corrección abre nuevos riesgos.
Por eso recomendó a los desarrolladores acortar ciclos de parcheo y facilitar al máximo la instalación de actualizaciones. También sugirió ser más insistentes con usuarios que todavía operan software con vulnerabilidades conocidas. Para defensores de redes, el consejo fue reducir tiempos de prueba e implementación de parches, además de reforzar controles establecidos por organismos como el National Institute of Standards and Technology y el National Cyber Security Centre del Reino Unido.
Entre esas medidas figuran configuraciones de red más seguras por defecto, autenticación multifactor y registros exhaustivos para detección y respuesta. Son prácticas conocidas, pero Anthropic sostuvo que ahora tienen aún más valor porque reducen exposición sin depender por completo de que un parche específico llegue a tiempo.
Nuevas herramientas y la cautela sobre un posible lanzamiento general
Anthropic también indicó que muchos modelos de disponibilidad general ya pueden encontrar grandes cantidades de vulnerabilidades, aunque no necesariamente las más sofisticadas ni con la misma eficacia que Mythos Preview. En respuesta, la empresa lanzó Claude Security en beta pública para clientes de Claude Enterprise, una herramienta que analiza bases de código y puede proponer correcciones.
En las tres semanas desde ese lanzamiento, Claude Opus 4.7 fue usado para corregir más de 2.100 vulnerabilidades, según la compañía. El ritmo es más rápido que en código abierto porque las empresas corrigen su propio software, mientras que el ecosistema open source depende con frecuencia de mantenedores voluntarios y procesos de divulgación coordinada.
Anthropic también anunció su Programa de Verificación Cibernética, orientado a profesionales de seguridad que usan sus modelos para investigación de vulnerabilidades, pruebas de penetración y red teaming. Además, dijo que pondrá a disposición de equipos elegibles, bajo solicitud, las herramientas que utilizó con sus socios en Glasswing, incluidas instrucciones personalizadas, un arnés para mapear bases de código y coordinar subagentes de análisis, y un generador de modelos de amenazas.
Como parte de ese esfuerzo más amplio, Cisco publicó recientemente como código abierto su Foundry Security Spec para ayudar a otros defensores a construir sistemas de evaluación similares. Anthropic, además, formó una alianza con el proyecto Alpha-Omega de la Open Source Security Foundation para apoyar el trabajo de mantenedores al procesar y clasificar informes de errores.
La conclusión más delicada del reporte es estratégica. Anthropic sostuvo que ninguna empresa, incluida ella misma, ha desarrollado aún salvaguardas lo bastante sólidas como para impedir que modelos de la clase Mythos sean mal utilizados y provoquen daños graves. Por ese motivo no ha publicado al público modelos con esas capacidades. Aun así, reconoció que el rápido avance de la IA hace probable que otras compañías desarrollen sistemas comparables pronto. Si alguno se libera sin suficientes controles, advirtió, explotar software vulnerable podría volverse dramáticamente más barato y más fácil para casi cualquier actor.
En ese contexto, Project Glasswing busca dar una ventaja asimétrica a los defensores más importantes a nivel sistémico. El próximo paso, indicó Anthropic, será ampliar la iniciativa con socios críticos, incluidos gobiernos de Estados Unidos y sus aliados, mientras trabaja en salvaguardas más robustas para un futuro lanzamiento general. La apuesta de fondo es ambiciosa: un ecosistema donde el código importante esté mejor reforzado que hoy y donde el hacking sea mucho menos frecuente. Pero, por ahora, la realidad es que la IA ya está encontrando fallas más rápido de lo que el mundo puede corregirlas.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
CEO de Airbnb defiende uso de IA china y acusa a legisladores de “malentender” cómo funciona la tecnología
Empresas
Spacex lanza Starship V3 por primera vez, pero pierde el propulsor en el regreso
Empresas
Microsoft lanza un modelo de IA gratis que supera a OpenAI y Google al navegar en la web
billonarios