La compañía detrás de Claude aseguró que su sistema experimental Mythos Preview ya detectó miles de vulnerabilidades graves en software clave de internet, marcando un cambio profundo en la carrera entre hackers, empresas y modelos de inteligencia artificial.
La inteligencia artificial ya no solo escribe textos, genera imágenes o programa código. Ahora también está encontrando fallas críticas de seguridad a una velocidad que, según Anthropic, supera ampliamente la capacidad humana para corregirlas.
La empresa presentó una actualización inicial de “Project Glasswing”, su iniciativa lanzada en abril de 2026 para proteger software crítico antes de que modelos avanzados de IA puedan ser utilizados masivamente para ataques cibernéticos. El dato más impactante del informe es que su modelo experimental Claude Mythos Preview encontró más de 10.000 vulnerabilidades de alta o crítica severidad en sistemas considerados fundamentales para el funcionamiento de internet y otras infraestructuras esenciales.
Según explicó Anthropic, el problema ya no es encontrar errores de seguridad, sino verificar, reportar y corregirlos antes de que puedan ser explotados.
“Antes, el progreso de la seguridad informática estaba limitado por la velocidad con la que podíamos descubrir nuevas vulnerabilidades. Ahora está limitado por la velocidad con la que podemos verificarlas, divulgarlas y parchearlas”, señaló la compañía.
Una IA capaz de encontrar errores a escala industrial
Project Glasswing reúne actualmente a unas 50 organizaciones y socios tecnológicos que utilizan Claude Mythos Preview para analizar software crítico. Entre los resultados más destacados aparece el caso de Cloudflare, que encontró 2.000 bugs en sus sistemas, de los cuales 400 fueron catalogados como de alta o crítica severidad.
Anthropic aseguró que algunos socios multiplicaron por más de diez su velocidad habitual de detección de vulnerabilidades.
Además, el modelo logró hitos importantes en evaluaciones externas. El instituto británico AI Security Institute afirmó que Mythos Preview fue el primer sistema capaz de resolver completamente dos simulaciones complejas de ataques cibernéticos. Por su parte, Mozilla informó haber detectado y corregido 271 vulnerabilidades en Firefox 150 usando el modelo, más de diez veces el volumen encontrado previamente con Claude Opus 4.6.
La compañía también reveló que examinó más de 1.000 proyectos open source durante los últimos meses. Allí, Mythos Preview identificó 23.019 posibles vulnerabilidades, de las cuales 6.202 fueron clasificadas inicialmente como críticas o de alta gravedad.
Tras el análisis humano posterior, 1.587 de 1.752 casos evaluados resultaron verdaderos positivos, lo que representa una tasa de precisión del 90,6%.
El caso wolfSSL y el temor a una nueva etapa del hacking
Uno de los ejemplos más delicados mencionados por Anthropic involucra a wolfSSL, una biblioteca criptográfica open source utilizada por miles de millones de dispositivos en todo el mundo.
Según la empresa, Mythos Preview logró construir un exploit que permitiría falsificar certificados digitales y crear sitios web fraudulentos prácticamente indistinguibles de páginas legítimas de bancos o proveedores de correo electrónico.
La vulnerabilidad, identificada como CVE-2026-5194, ya fue corregida y Anthropic prometió publicar próximamente un análisis técnico completo.
La situación genera una preocupación creciente en la industria: los modelos de IA están acelerando drásticamente la capacidad de encontrar y explotar fallas de software, mientras que la infraestructura global de seguridad sigue dependiendo de procesos humanos relativamente lentos.
“Modelos similares a Mythos Preview pronto estarán ampliamente disponibles”, advirtió Anthropic. “Eso reducirá enormemente el tiempo y el costo necesarios para encontrar y explotar vulnerabilidades.”
Una carrera entre atacantes y defensores
El escenario plantea una transformación profunda en la ciberseguridad global. Según Anthropic, incluso mantenedores de proyectos open source ya están saturados por la cantidad de reportes automáticos generados con IA.
Algunos desarrolladores pidieron explícitamente a la empresa reducir el ritmo de divulgación de vulnerabilidades porque no tienen capacidad suficiente para crear parches con rapidez.
En promedio, corregir un bug crítico encontrado por Mythos Preview demanda actualmente dos semanas de trabajo.
La compañía sostiene que esta etapa de transición podría ser especialmente riesgosa. Mientras las IA permiten detectar errores antes que nunca, millones de sistemas todavía tardan demasiado tiempo en actualizarse.
Por eso, Anthropic recomendó acelerar los ciclos de parcheo, reforzar autenticación multifactor, endurecer configuraciones de red y simplificar la instalación automática de actualizaciones.
Claude Security y el futuro de la defensa automatizada
Como parte de esta estrategia, Anthropic lanzó “Claude Security”, una herramienta beta para clientes Enterprise que permite escanear bases de código y generar propuestas automáticas de corrección.
Según la empresa, en apenas tres semanas Claude Opus 4.7 ayudó a reparar más de 2.100 vulnerabilidades.
Anthropic también anunció un “Cyber Verification Program”, destinado a investigadores y especialistas en seguridad que necesiten utilizar modelos avanzados para tareas legítimas de pentesting, auditorías y red teaming.
Sin embargo, la compañía aclaró que todavía no liberará públicamente modelos con capacidades equivalentes a Mythos Preview.
“Hoy ninguna empresa, incluida Anthropic, desarrolló salvaguardas suficientemente fuertes para evitar que estos modelos sean utilizados de manera maliciosa y causen daños severos”, sostuvo la firma.
Aun así, Anthropic considera que el horizonte final podría ser positivo.
“Del otro lado de estos riesgos existe un mundo alentador, donde el software crítico es mucho más seguro y el hacking mucho menos frecuente”, concluyó la empresa.