Un modelo de inteligencia artificial desarrollado por Anthropic encontró miles de vulnerabilidades críticas en todos los sistemas operativos y navegadores web del mundo, muchas de ellas con décadas de antigüedad. La empresa decidió no lanzarlo al público y, en cambio, armó una alianza con doce corporaciones tecnológicas para usarlo exclusivamente con fines defensivos.
Claude Mythos Preview es un modelo de IA de última generación que Anthropic describió como capaz de superar a casi cualquier experto humano en encontrar y explotar fallas de seguridad en software. En las últimas semanas, el modelo identificó de forma autónoma miles de vulnerabilidades de alto riesgo que habían sobrevivido años de revisión manual y millones de pruebas automatizadas.
Tres casos ilustran la escala del problema. El modelo encontró una falla de 27 años en OpenBSD, un sistema operativo usado en cortafuegos e infraestructura crítica, que permitía a un atacante remoto colapsar cualquier máquina con solo conectarse. También descubrió un error de 16 años en FFmpeg —software de procesamiento de video presente en innumerables aplicaciones— en una línea de código que herramientas automatizadas habían analizado cinco millones de veces sin detectar nada. Y en el kernel de Linux, encadenó varias vulnerabilidades de forma autónoma para escalar desde un acceso básico al control total del equipo.
Lee Klarich, director de Producto y Tecnología de Palo Alto Networks, fue directo sobre lo que viene: "Habrá más ataques, ataques más rápidos y ataques más sofisticados". Elia Zaitsev, CTO de CrowdStrike, apuntó que "la ventana entre que se descubre una vulnerabilidad y es explotada por un adversario se ha derrumbado": lo que antes llevaba meses, ahora sucede en minutos con IA.
Por qué Anthropic decidió no lanzarlo al mercado
La empresa reconoce abiertamente el riesgo: si estas capacidades quedaran disponibles para cualquier usuario, los ciberataques se volverían más frecuentes y más destructivos. Mythos Preview no estará disponible de forma general.
En su lugar, Anthropic anunció el Proyecto Glasswing, una iniciativa junto a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Fundación Linux, Microsoft, NVIDIA y Palo Alto Networks. Anthony Grieco, chief security officer de Cisco, resumió la urgencia: "Las capacidades de la IA han cruzado un umbral que cambia fundamentalmente la urgencia requerida para proteger la infraestructura crítica, y no hay vuelta atrás".
Jim Zemlin, CEO de la Fundación Linux, señaló además que los mantenedores de software de código abierto —cuyo trabajo sostiene gran parte de la infraestructura digital global— han estado históricamente solos frente a los problemas de seguridad. El proyecto, dijo, ofrece "un camino creíble para cambiar esa ecuación".
Anthropic comprometió hasta 100 millones de dólares en créditos de uso del modelo para los participantes, más 4 millones en donaciones a organizaciones de seguridad de código abierto. El plan es desarrollar nuevas salvaguardas con un modelo menos riesgoso primero y, solo entonces, habilitar versiones similares a Mythos para uso masivo.
