Por Canuto Anthropic presentó Project Glasswing, una alianza con algunas de las mayores firmas tecnológicas del mundo para usar IA avanzada en la detección y corrección de vulnerabilidades críticas. El anuncio llega tras revelar que su modelo Claude Mythos Preview halló miles de fallas severas, incluso en sistemas operativos, navegadores y componentes ampliamente utilizados.
***
- Anthropic aseguró que Claude Mythos Preview ya encontró miles de vulnerabilidades de alta severidad, incluidas fallas en sistemas operativos y navegadores principales.
- Project Glasswing reúne a AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks y la Linux Foundation.
- La empresa comprometió hasta USD $100 millones en créditos y USD $4 millones en donaciones para reforzar la seguridad de software crítico y de código abierto.
Anthropic anunció Project Glasswing, una nueva iniciativa orientada a reforzar la seguridad del software más crítico del mundo con ayuda de inteligencia artificial. El programa reúne a Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks.
La iniciativa surge después de que la compañía observara capacidades avanzadas en un nuevo modelo frontier aún no publicado, Claude Mythos Preview. Según explicó la empresa, el sistema alcanzó un nivel de programación capaz de superar a casi todos los humanos, salvo a los expertos más especializados, en la búsqueda y explotación de vulnerabilidades de software.
Anthropic sostuvo que Mythos Preview ya detectó miles de vulnerabilidades de alta severidad, incluidas algunas presentes en todos los principales sistemas operativos y navegadores web. La firma advirtió que, dado el ritmo de avance de la IA, estas capacidades podrían proliferar pronto y terminar fuera del control de actores comprometidos con un despliegue seguro.
En ese contexto, Project Glasswing busca canalizar ese poder hacia fines defensivos. Los socios participantes usarán el modelo en labores de seguridad ofensiva controlada y defensa, mientras Anthropic compartirá aprendizajes con la industria. Además, más de 40 organizaciones adicionales que construyen o mantienen infraestructura crítica ya recibieron acceso para escanear y asegurar sistemas propios y proyectos de código abierto.
Por qué Anthropic considera urgente actuar ahora
La empresa recordó que el software que sostiene bancos, hospitales, redes logísticas, sistemas energéticos y servicios públicos siempre ha contenido errores. Algunos son menores, pero otros abren la puerta a secuestro de sistemas, robo de datos o interrupciones operativas con impacto económico y humano.
Anthropic subrayó que actores estatales vinculados con China, Irán, Corea del Norte y Rusia ya han amenazado infraestructura sensible. También señaló que incluso ataques más pequeños contra hospitales o escuelas pueden causar daños sustanciales, exponer información sensible y poner vidas en riesgo.
La compañía estimó que el costo financiero global del cibercrimen podría rondar USD $500.000 millones al año. A su juicio, lo que cambia ahora es que la IA reduce drásticamente el costo, el esfuerzo y la experiencia necesaria para descubrir y explotar vulnerabilidades que antes requerían especialistas muy escasos.
Ese cambio altera el equilibrio entre atacantes y defensores. Anthropic afirmó que los modelos frontier ya se han vuelto cada vez más eficaces para leer código, razonar sobre él y detectar fallas. Con Mythos Preview, la empresa dice haber visto un salto claro, incluso en vulnerabilidades que habían sobrevivido décadas de revisión humana y millones de pruebas automatizadas.
La firma comparó este momento con un punto de inflexión en ciberseguridad. Diez años después del primer DARPA Cyber Grand Challenge, sostuvo que los modelos de IA ya se están volviendo competitivos con los mejores humanos en búsqueda y explotación de vulnerabilidades. Sin salvaguardas, añadió, estas capacidades podrían multiplicar la frecuencia y el impacto de los ciberataques.
Las fallas que encontró Claude Mythos Preview
Durante las últimas semanas, Anthropic dijo haber usado Claude Mythos Preview para identificar miles de vulnerabilidades de día cero, muchas de ellas críticas, en todos los principales sistemas operativos y navegadores web, además de otros componentes importantes de software. La empresa explicó que en un blog técnico de su equipo de red teaming publicó detalles de una parte de esas fallas ya corregidas.
Según la compañía, el modelo fue capaz de identificar casi todas esas vulnerabilidades y desarrollar muchos exploits relacionados de forma totalmente autónoma, sin orientación humana. Ese punto es central en el anuncio, porque sugiere un nivel de autonomía que aumenta el valor defensivo de la herramienta, pero también eleva los riesgos potenciales si se usara con fines ofensivos.
Entre los ejemplos citados, Anthropic afirmó que Mythos Preview encontró una vulnerabilidad de 27 años en OpenBSD. La falla permitía a un atacante colapsar remotamente cualquier máquina que ejecutara ese sistema operativo con solo conectarse a ella.
También reportó una vulnerabilidad de 16 años en FFmpeg, una biblioteca usada ampliamente para codificar y decodificar video. La empresa destacó que la línea de código afectada había sido ejecutada cinco millones de veces por herramientas automatizadas de prueba sin que el problema fuera detectado.
El tercer ejemplo fue una cadena de vulnerabilidades en el kernel de Linux. De acuerdo con Anthropic, el modelo enlazó varias fallas de forma autónoma para permitir a un atacante escalar desde acceso de usuario común hasta el control completo de la máquina.
La empresa indicó que esas vulnerabilidades ya fueron notificadas a los mantenedores responsables y todas han sido corregidas. Para muchas otras, publicó un hash criptográfico de los detalles y revelará la información más adelante, una vez existan parches disponibles.
Resultados técnicos y ventaja frente a otros modelos
Anthropic acompañó el anuncio con resultados de evaluación que, según la empresa, muestran una diferencia sustancial entre Mythos Preview y su siguiente mejor modelo, Claude Opus 4.6. En CyberGym, una prueba de reproducción de vulnerabilidades de ciberseguridad, Mythos Preview obtuvo 83,1%, frente a 66,6% de Opus 4.6.
La compañía también presentó puntajes en programación y razonamiento. En SWE-bench Pro, Mythos Preview logró 77,8% frente a 53,4%. En Terminal-Bench 2.0 alcanzó 82,0% contra 65,4%. En SWE-bench Multimodal, con implementación interna, marcó 59,0% frente a 27,1%.
En SWE-bench Multilingual, el modelo registró 87,3% frente a 77,8%. En SWE-bench Verified, obtuvo 93,9% frente a 80,8%. Anthropic añadió observaciones metodológicas sobre posibles casos de memorización en un subconjunto de problemas y aclaró que, aun excluyéndolos, se mantiene la ventaja de Mythos Preview sobre Opus 4.6.
Las métricas generales también fueron altas en otras pruebas. En GPQA Diamond, Mythos Preview logró 94,6% y Opus 4.6, 91,3%. En Humanity’s Last Exam, el nuevo modelo obtuvo 56,8% sin herramientas y 64,7% con herramientas, frente a 40,0% y 53,1%, respectivamente, para Opus 4.6. En BrowseComp alcanzó 86,9% y en OSWorld-Verified, 79,6%.
Anthropic aclaró que no planea ofrecer acceso general a Claude Mythos Preview. Su meta, según explicó, es habilitar en el futuro el despliegue seguro de modelos de clase Mythos a gran escala, tanto para ciberseguridad como para otros usos. Para lograrlo, la empresa trabaja en salvaguardas capaces de detectar y bloquear las salidas más peligrosas.
Apoyo de la industria y próximos pasos del proyecto
El anuncio incluyó declaraciones de ejecutivos de Cisco, AWS, Microsoft, CrowdStrike, la Linux Foundation, JPMorganChase, Google y Palo Alto Networks. En conjunto, los mensajes coincidieron en una idea central: la IA ya cruzó un umbral que obliga a modernizar las defensas, porque la ventana entre descubrir una falla y verla explotada se ha reducido de meses a minutos.
Anthropic señaló que los socios de Project Glasswing recibirán acceso al modelo para encontrar y corregir vulnerabilidades o debilidades en sistemas fundamentales que representan una gran parte de la superficie de ataque cibernético global. El trabajo se enfocará en detección local de vulnerabilidades, pruebas de caja negra sobre binarios, protección de endpoints y pruebas de penetración.
La empresa comprometió hasta USD $100 millones en créditos de uso de Mythos Preview para el proyecto y los participantes adicionales. Después de esta vista previa de investigación, el modelo estará disponible para participantes a un costo de USD $25 por millón de tokens de entrada y USD $125 por millón de tokens de salida, con acceso a través de la API de Claude, Amazon Bedrock, Vertex AI de Google Cloud y Microsoft Foundry.
Junto a esos créditos, Anthropic anunció donaciones directas por USD $4 millones para seguridad de código abierto. De ese monto, USD $2,5 millones fueron destinados a Alpha-Omega y OpenSSF a través de la Linux Foundation, mientras que USD $1,5 millones se asignaron a la Apache Software Foundation.
La empresa dijo que pretende ampliar el alcance del proyecto durante muchos meses y compartir, en la medida de lo posible, hallazgos y mejores prácticas. Dentro de 90 días, Anthropic publicará un informe con lo aprendido, incluyendo vulnerabilidades corregidas y mejoras que puedan divulgarse.
Además, planea colaborar con organizaciones de seguridad para producir recomendaciones prácticas sobre procesos de divulgación de vulnerabilidades, actualizaciones de software, seguridad de código abierto y de cadena de suministro, desarrollo secure-by-design, estándares para industrias reguladas, automatización del triaje y automatización del parcheo.
Anthropic agregó que ha mantenido conversaciones con funcionarios del gobierno de Estados Unidos sobre las capacidades ofensivas y defensivas de Claude Mythos Preview. La empresa remarcó que asegurar infraestructura crítica es una prioridad de seguridad nacional para los países democráticos y sostuvo que esta nueva etapa refuerza la necesidad de que Estados Unidos y sus aliados mantengan una ventaja decisiva en tecnología de IA.
La información fue presentada por Anthropic en el anuncio de Project Glasswing: Securing critical software for the AI era. En el apéndice, la firma explicó que el nombre del proyecto se inspira en la mariposa de alas de cristal, Greta oto, como metáfora de vulnerabilidades ocultas a plena vista y de la transparencia que la empresa dice defender en su enfoque.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Uber amplía su alianza con AWS y prueba Trainium3 en un golpe a Oracle y Google
Educación
Cómo construir un segundo cerebro con IA usando solo carpetas y archivos de texto
Reino Unido
Hackers rusos secuestran routers TP-Link y MikroTik para robar credenciales, advierte Reino Unido
Empresas