Anthropic entregó una primera actualización de Project Glasswing, su iniciativa colaborativa para detectar vulnerabilidades en software crítico antes de que modelos de IA más capaces puedan ser usados contra esos mismos sistemas. El trabajo se apoya en Claude Mythos Preview y en cerca de 50 socios.
Admin
Mythos Preview eleva el volumen de hallazgos críticos
Durante las primeras semanas de Project Glasswing, Anthropic y sus socios encontraron más de 10.000 vulnerabilidades de severidad alta o crítica en software considerado relevante para internet y otras infraestructuras esenciales. La compañía plantea que el principal límite operativo ya no está en detectar fallas, sino en verificar, reportar y corregir el volumen generado por modelos de IA.
Entre los casos mencionados aparecen Cloudflare, Mozilla, XBOW y el AI Security Institute del Reino Unido. Cloudflare encontró 2.000 errores en sistemas críticos, con 400 de severidad alta o crítica, mientras Mozilla identificó y corrigió 271 vulnerabilidades en Firefox 150 durante pruebas con Mythos Preview.
Anthropic también indica que el modelo resolvió de extremo a extremo los dos rangos cibernéticos del AI Security Institute del Reino Unido. En paralelo, evaluaciones como ExploitBench y ExploitGym ubicaron a Mythos Preview entre los modelos con mejor desempeño en capacidades de desarrollo de exploits.
Admin
El escaneo de código abierto expone el cuello de botella humano
Anthropic usó Mythos Preview para analizar más de 1.000 proyectos de código abierto que sostienen parte relevante de internet y de su propia infraestructura. Hasta ahora, el modelo estimó 23.019 hallazgos de distintos niveles, incluidos 6.202 de severidad alta o crítica.
El proceso de revisión muestra avances en validación, reporte y corrección, pero también evidencia la carga que enfrentan mantenedores y equipos de seguridad. Los datos del panel de Anthropic ordenan el avance del proceso en varias etapas:
- 1.900 hallazgos revisados por firmas externas de seguridad.
- 1.726 hallazgos confirmados como válidos.
- 1.596 hallazgos reportados a mantenedores.
- 1.451 hallazgos reconocidos por mantenedores.
- 97 hallazgos corregidos en proyectos upstream.
- 88 avisos de seguridad publicados.
Anthropic señala que el 90,6 % de los hallazgos revisados por firmas externas de seguridad, o por la propia compañía en algunos casos, resultó ser un verdadero positivo. La empresa proyecta que, incluso sin nuevos hallazgos, Mythos Preview estaría en camino de exponer cerca de 3.900 vulnerabilidades altas o críticas en código abierto.
Uno de los casos mencionados corresponde a wolfSSL, una biblioteca criptográfica de código abierto usada por miles de millones de dispositivos. Anthropic indica que Mythos Preview construyó un exploit para una vulnerabilidad ya corregida, asignada como CVE-2026-5194.
La defensa queda condicionada por verificación y parches
El reporte plantea que la detección automatizada puede superar la capacidad disponible para triage, reporte coordinado y corrección. Anthropic estima que, en promedio, una vulnerabilidad alta o crítica encontrada por Mythos Preview tarda dos semanas en ser corregida.
La compañía también advierte que este período intermedio introduce nuevos riesgos para desarrolladores, mantenedores y defensores de red. Su recomendación es acortar ciclos de parcheo, facilitar la actualización de software y reforzar controles básicos como autenticación multifactor, configuración segura y registros completos para detección y respuesta.
Anthropic complementó Project Glasswing con Claude Security, disponible en beta pública para clientes de Claude Enterprise. Según la compañía, Claude Opus 4.7 fue usado para corregir más de 2.100 vulnerabilidades durante las tres primeras semanas desde el lanzamiento de esa herramienta.
La empresa también inició el Cyber Verification Program para profesionales de seguridad que usan sus modelos con fines legítimos. Además, pondrá a disposición de equipos calificados herramientas empleadas con Mythos Preview, entre ellas skills, un sistema para mapear bases de código y un generador de modelos de amenaza.
Admin
Mythos seguirá restringido mientras avanzan las salvaguardas
Anthropic mantiene sin lanzamiento público los modelos de clase Mythos. La empresa sostiene que aún no existen salvaguardas suficientes para evitar usos indebidos graves, por lo que el acceso seguirá restringido mientras desarrolla controles más robustos.
Project Glasswing continuará con socios críticos, incluidos gobiernos de Estados Unidos y países aliados. La compañía también trabaja con OpenSSF Alpha-Omega para apoyar a mantenedores de código abierto en la clasificación y revisión de reportes.
