Claude Mithos de Anthropic encontró 10.000 vulnerabilidades críticas en un mes. Los parches no se pueden mantener.

Anthropic reveló el viernes que Project Glasswing, su iniciativa limitada de ciberseguridad, ha descubierto más de 10.000 candidatos a vulnerabilidades de gravedad alta o crítica en el software sistémicamente más importante del mundo desde que el programa entró en funcionamiento hace un mes. De ellos, 1.726 fueron verificados como verdaderos positivos. Se confirmaron 1.094 defectos de gravedad alta o grave. Sólo 97 han sido parcheados.

La brecha entre esos números es la historia. Cloud Myths Preview de Anthropic, un modelo de frontera con capacidades especiales para encontrar vulnerabilidades en el código fuente, puede detectar fallas a una velocidad que el ecosistema de código abierto no puede explotar. 6202 candidatos de gravedad alta o crítica afectan a más de 1000 proyectos de código abierto. Se han emitido 88 avisos. La tasa de descubrimiento es órdenes de magnitud más rápida que la tasa de remediación.

"La relativa facilidad para encontrar vulnerabilidades es un desafío mayor para la ciberseguridad que la dificultad de solucionarlas.", reconoció Anthropic. La compañía está instando a los desarrolladores de software a acortar los ciclos de parches y hacer que las correcciones de seguridad estén disponibles lo más rápido posible. Oracle ya ha pasado de los lanzamientos de parches trimestrales a mensuales para hacer frente a la aceleración. Microsoft ha advertido que el número de parches mensuales que espera lanzar.Continúe la gran tendencia por algún tiempo."

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. ¡Regístrate ahora!

El descubrimiento más notable hasta el momento es WolfSSL (CVE-2026-5194, puntuación CVSS 9.1), una falla crítica en una biblioteca TLS integrada ampliamente utilizada, que permite a un atacante falsificar credenciales y hacerse pasar por un servicio legítimo. WolfSSL se implementa en dispositivos IoT, sistemas automotrices y entornos de control industrial donde una vulnerabilidad de suplantación de certificado tiene consecuencias más allá de la seguridad web tradicional.

Glasswing opera a través de un modelo de sociedad limitada. Aproximadamente 50 organizaciones, que Anthropic describe como los ciberdefensores sistémicamente más importantes, tienen acceso a la vista previa de Cloud Mythos. El modelo no ha sido lanzado al público en general. XBOW, una plataforma de seguridad ofensiva autónoma, presenta Mythos como “Un gran avance"eso es"Significativamente mejor que los modelos anteriores a la hora de encontrar candidatos vulnerables."y"Competente en análisis de código fuente con mentalidad de seguridad.El análisis de Cloudflare demostró que el modelo es experto en convertir vulnerabilidades individuales en cadenas de ataques de extremo a extremo, una capacidad que es tan útil para los defensores para construir modelos de amenazas como peligrosa en las manos equivocadas.

Las aplicaciones defensivas van más allá del descubrimiento de vulnerabilidades. En un caso, un banco asociado de Glasswing utilizó Claude Mythos para detectar y prevenir una transferencia bancaria fraudulenta de 1,5 millones de dólares después de que un atacante violara la cuenta de correo electrónico de un cliente e hiciera llamadas telefónicas falsas. El modelo identificó el patrón de fraude antes de ejecutar la transferencia. El caso de uso ilustra el argumento de Anthropic de que los modelos de IA de frontera pueden proporcionar beneficios asimétricos para los defensores, pero sólo si el acceso está restringido a organizaciones con la madurez para usarlos de manera responsable.

El momento coincide con una amplia aceleración de las divulgaciones de seguridad relacionadas con la IA. La vulnerabilidad Claw Chain de Cyra en OpenClaw, revelada a principios de este mes, demostró cómo los atacantes podrían convertir en arma las propias capacidades sandbox de un agente de IA. La auditoría de Koi Security realizada por ClawHub encontró 341 entradas maliciosas de 2.857 habilidades de agentes de IA disponibles. El patrón es consistente: la IA crea simultáneamente nuevas superficies de ataque y proporciona herramientas más poderosas para encontrar fallas en las existentes. La pregunta es qué lado de la ecuación se mueve más rápido.

Anthropic ha lanzado un programa de verificación cibernética que permite a los profesionales de seguridad verificados utilizar la nube con fines legítimos, incluida la investigación de vulnerabilidades, pruebas de penetración y formación de equipos rojos. OpenAI ha introducido un programa paralelo llamado Daybreak, que proporciona un acceso similar a GPT-5.5-Cyber. Ni Mythos Preview ni GPT-5.5-Cyber ​​​​se han lanzado al público en general debido a la preocupación de que aún no existan las salvaguardias adecuadas para evitar abusos a gran escala.

La dinámica competitiva entre Anthropic y OpenAI se está intensificando en el espacio de la ciberseguridad. Ambas organizaciones están posicionando sus modelos fronterizos como infraestructura esencial para la ciberdefensa nacional y corporativa, al tiempo que restringen el acceso para evitar que las mismas capacidades se utilicen de manera ofensiva. La naturaleza de doble uso de la tecnología plantea un desafío político que ninguna de las empresas ha resuelto por completo: si los modelos con capacidades a nivel de mitos se vuelven ampliamente disponibles, como la propia Anthropic reconoce en el futuro cercano, el modelo actual de limitar el acceso a 50 socios confiables ya no existirá.

Los modelos de nube disponibles públicamente de Anthropic ya se encuentran entre los asistentes de codificación más capaces del mercado. La brecha entre lo que Mythos puede hacer y lo que Claude de cara al público puede hacer se está reduciendo con cada lanzamiento. La antropología insta a las organizaciones a prepararse para un mundo en el que estas capacidades sean ampliamente accesibles mediante el fortalecimiento de las configuraciones de red, la implementación de autenticación multifactor y el mantenimiento de registros completos para la detección y respuesta.

Diez mil candidatos de vulnerabilidad al mes de 50 socios utilizando un modelo. El ecosistema de software cuenta ahora con una herramienta que permite a los desarrolladores encontrar errores más rápido de lo que pueden corregirlos. Esto es a la vez prometedor y problemático. Glasswing es una ventaja asimétrica para los defensores antropomórficos. Es. Pero las ventajas asimétricas tienden a ser temporales y el tiempo ya corre.