Un modelo de inteligencia artificial encontró fallas de décadas de antigüedad en sistemas que ningún investigador humano había detectado. Y uno de los expertos que mantiene esos sistemas lo confirmó: las vulnerabilidades eran reales, y la empresa que desarrolló la IA también envió el código para corregirlas.
Claude Mythos Preview, el nuevo modelo de inteligencia artificial de la empresa estadounidense Anthropic, identificó una vulnerabilidad —es decir, una falla de seguridad que puede ser aprovechada para acceder o dañar un sistema— que llevaba 27 años oculta en OpenBSD, un sistema operativo reconocido como uno de los más seguros del mundo. También encontró otra falla de 16 años en FFmpeg, una librería de software que usan servicios de video de todo el mundo para procesar y reproducir contenido. Así lo informó la revista especializada Wired, que accedió a la documentación técnica de la empresa.
Mauro Eldritch, investigador de seguridad que contribuye de forma voluntaria al mantenimiento de FreeBSD y OpenBSD, confirmó los hallazgos. "Encontró vulnerabilidades oscurísimas en sistemas en los que yo colaboro", dijo. "El primero es considerado de los más estables del mundo y el segundo, de los más seguros".
Para entender la magnitud del hallazgo, hay que saber qué son los sistemas BSD. Se trata de una familia de sistemas operativos —el software base que hace funcionar una computadora— que durante décadas fue adoptada por empresas e instituciones que necesitaban máxima estabilidad y seguridad. Consolas de videojuegos como PlayStation los usaron durante años. Muchos firewalls —los sistemas que protegen redes corporativas y gubernamentales de ataques externos— también están construidos sobre BSD.
Lo que sorprendió a Eldritch no fue solo que Mythos encontrara esas fallas, sino que Anthropic también envió los parches —es decir, las correcciones de código que tapan esas vulnerabilidades—. "Normalmente no nos gustan los parches hechos con IA porque la mayoría son de gente que ni chequea o no sabe programar", explicó. "Pero acá encontró vulnerabilidades de hace 27 y 16 años. Nadie las había visto y eran casos de uso ultraespecíficos, y encima nos mandó el parche".
Eldritch señaló que el trabajo de mantenimiento de esos sistemas es voluntario, lo que hace que cada vulnerabilidad encontrada implique una carga extra de trabajo para quienes los sostienen. En ese contexto, que la IA no solo detectara la falla sino que también propusiera la corrección fue, según él, algo poco habitual.
Los números que preocupan a la industria
Más allá del caso BSD, la documentación técnica de Anthropic presenta cifras que explican por qué el acceso al modelo está restringido a poco más de 40 organizaciones en todo el mundo.
Según informó Wired, en la prueba CyberGym —un test diseñado específicamente para medir qué tan bien una IA puede analizar y explotar fallas de seguridad— Mythos alcanzó una tasa de éxito del 83,1%. El modelo anterior de Anthropic, Opus 4.6, lideraba ese benchmark con 66,6%.
La diferencia se vuelve más concreta con otro dato: mientras Opus 4.6 puede identificar cerca de 500 vulnerabilidades zero-day —así se llama a las fallas que aún no son conocidas por los fabricantes del software afectado, y que por lo tanto no tienen corrección disponible—, Mythos detectó "decenas de miles de vulnerabilidades de alta gravedad" en cuestión de minutos. Además, generó exploits funcionales —es decir, programas diseñados para aprovechar esas fallas y tomar control de un sistema— para aproximadamente el 72% de los casos, según la misma fuente.
Anthropic advierte que estas capacidades permitirían a usuarios sin formación técnica encontrar y explotar fallas sofisticadas. Ante eso, lanzó el Proyecto Glasswing, una iniciativa de defensa cibernética en colaboración con Amazon Web Services, Apple, Google, Microsoft y otras empresas tecnológicas, con una inversión de hasta 100 millones de dólares en créditos de uso del modelo, destinada a usar la propia IA para detectar y corregir vulnerabilidades antes de que otros las aprovechen.
Para Eldritch, más allá de los riesgos, el modelo generó algo poco frecuente en el campo: expectativa genuina. "Es de lo poco que me generó una buena expectativa, porque hace pruebas realmente exhaustivas".
