Anthropic ha anunciado oficialmente Claude Mythos Preview, un modelo de inteligencia artificial ciberseguridad que ha identificado miles de vulnerabilidades zero-day en sistemas operativos, navegadores y software crítico que permanecían ocultas durante décadas. A diferencia de versiones anteriores de Claude, Mythos no está disponible al público: la empresa ha decidido mantenerlo bajo control estricto a través del Proyecto Glasswing, limitando el acceso a un grupo selecto de proveedores de infraestructura y organizaciones de seguridad. Esta decisión refleja un cambio fundamental en cómo la industria gestiona modelos de IA con capacidades ofensivas potencialmente disruptivas.
Qué es Claude Mythos y sus capacidades en detección de vulnerabilidades
Claude Mythos Preview representa un salto generacional en capacidades de razonamiento, codificación y, especialmente, en detección automatizada de vulnerabilidades de seguridad. Según la documentación técnica de Anthropic, el modelo alcanza un desempeño del 93,9% en SWE-bench, una métrica que evalúa la capacidad de resolver problemas reales de ingeniería de software. Sin embargo, lo que realmente distingue a Mythos no es su rendimiento general, sino su capacidad sin precedentes para identificar y explotar fallos de seguridad que han escapado a la detección humana durante años.
El modelo no solo encuentra vulnerabilidades: construye automáticamente cadenas de explotación complejas. En pruebas internas, Mythos logró 595 bloqueos de nivel crítico en evaluaciones de fuzzing, secuestró el flujo de control en 10 objetivos completamente parcheados y creó 181 exploits funcionales para el motor JavaScript de Firefox, frente a los 2 que consiguió Claude Opus 4.6 en el mismo conjunto de pruebas. Más preocupante aún: el modelo encadena de 2 a 4 vulnerabilidades independientes de forma autónoma para ejecutar ataques sofisticados como JIT heap spraying, escape de sandbox, construcción de cadenas ROP y escalada de privilegios, prácticamente sin intervención humana.
Otro atributo crítico es la drástica reducción de alucinaciones. Mythos presenta una tasa de alucinaciones significativamente inferior a Claude Opus 4.6 y es capaz de reconocer explícitamente cuándo carece de información suficiente, reduciendo así los falsos positivos que típicamente generan ruido en análisis de seguridad.
Vulnerabilidades descubiertas: el alcance del impacto en sistemas críticos
Durante las pruebas controladas, Mythos identificó miles de vulnerabilidades zero-day en prácticamente todos los sistemas operativos principales. Linux, OpenBSD, Windows y macOS no fueron excepción. El caso más notable: una vulnerabilidad en OpenBSD que había permanecido sin detectar durante 27 años. Los navegadores web —Chrome, Firefox, Safari— también fueron afectados, junto con bibliotecas de cifrado, núcleos del sistema y aplicaciones web ampliamente utilizadas.
Muchas de estas vulnerabilidades fueron clasificadas como de riesgo alto o crítico. Lo significativo no es solo el número, sino que Mythos localizó fallos profundos que eludieron décadas de revisiones humanas, fuzzing tradicional, análisis estático y evaluaciones de expertos en seguridad. Esto sugiere que la automatización inteligente ha alcanzado un nivel donde puede descubrir patrones de vulnerabilidad que los métodos convencionales simplemente no capturan.
Proyecto Glasswing: cómo las empresas líderes mitigan el riesgo
En lugar de lanzar Mythos públicamente, Anthropic optó por una estrategia de contención controlada: el Proyecto Glasswing. Este programa limita el acceso a más de 40 organizaciones de infraestructura crítica y ciberseguridad, incluyendo gigantes como Google, Microsoft, Apple, Amazon Web Services, Nvidia, CrowdStrike, JPMorgan Chase, Cisco, Broadcom, Palo Alto Networks y la Linux Foundation.
El objetivo es doble: permitir que estas organizaciones identifiquen y corrijan vulnerabilidades antes de que Mythos sea liberado de forma más amplia, y evaluar en entornos controlados cómo el modelo se comporta en contextos defensivos reales. Anthropic ha puesto a disposición de estos socios capacidades de cálculo valoradas en 100 millones de dólares para ejecutar Mythos en sus propias infraestructuras.
Este enfoque de «cuarentena colaborativa» es inédito en la industria de IA. Reconoce que un modelo con estas capacidades no puede simplemente liberarse al mercado sin un período de endurecimiento coordinado. Las organizaciones participantes trabajan en paralelo para identificar patrones de explotación, desarrollar parches preventivos y establecer protocolos defensivos antes de que el modelo esté disponible para uso más general.
| Organización / Sector | Rol en Proyecto Glasswing | Prioridad de Riesgo |
|---|---|---|
| Google, Microsoft, Apple | Corrección de vulnerabilidades en SO y navegadores | Crítica |
| AWS, Nvidia | Securización de infraestructura en la nube y hardware | Crítica |
| JPMorgan Chase, instituciones financieras | Protección de sistemas de pago y datos sensibles | Crítica |
| CrowdStrike, Palo Alto Networks | Desarrollo de defensas y detección de patrones de ataque | Alta |
| Linux Foundation | Endurecimiento de ecosistema de software abierto | Alta |
Riesgos y oportunidades para la ciberseguridad empresarial
El dilema de Mythos es fundamental: el mismo modelo que puede proteger infraestructura crítica puede, en manos equivocadas, automatizar ciberataques complejos a escala sin precedentes. Anthropic ha documentado que Mythos es el modelo mejor alineado que ha entrenado, con un margen de fallos desalineados inferior al 0,1%. Pero aquí reside el matiz crítico: cuando un modelo con este nivel de capacidad comete una acción desalineada, las consecuencias no son un error de codificación, sino potencialmente un ataque cibernético sofisticado.
Para directores de TI y CISO, Mythos presenta una oportunidad transformadora: automatizar la detección de vulnerabilidades zero-day a una velocidad y profundidad imposible con herramientas tradicionales. Las empresas que participan en Glasswing pueden identificar y parchear fallos antes de que sean explotados por actores maliciosos. Esto es especialmente valioso en sectores como finanzas, energía, sanidad y gobierno, donde una brecha de seguridad puede tener consecuencias catastróficas.
Sin embargo, también existe el riesgo de asimetría ofensiva. Si Mythos eventualmente es replicado o sus capacidades son reproducidas por actores con intenciones maliciosas, la capacidad para automatizar descubrimiento y explotación de vulnerabilidades escalaría dramáticamente. Esto requiere que la industria establezca marcos de gobernanza robustos, coordinación internacional en divulgación de vulnerabilidades y estándares de seguridad más rigurosos.
La decisión de Anthropic de no lanzar Mythos públicamente, al menos por ahora, sugiere que la empresa reconoce una responsabilidad que va más allá del modelo técnico: la responsabilidad de gestionar la transición hacia un mundo donde la inteligencia artificial y ciberseguridad están inextricablemente vinculadas. Las vulnerabilidades no desaparecerán; simplemente serán descubiertas más rápido, tanto por defensores como por atacantes. El verdadero desafío es asegurar que la balanza se incline hacia la defensa.
A medida que Mythos permanece en cuarentena y el Proyecto Glasswing avanza, la industria está presenciando un experimento en gobernanza de IA de alto riesgo. Los próximos meses determinarán si este modelo de contención colaborativa puede escalar, si las vulnerabilidades identificadas pueden parchearse lo suficientemente rápido, y si la automatización defensiva puede mantenerse por delante de la ofensiva. Lo que está en juego no es solo la seguridad de sistemas individuales, sino la confianza en la infraestructura digital global.
