A unas semanas de que se presentara Claude Mythos, el nuevo modelo de IA ha comenzado a cambiar la escena de la ciberseguridad. Anthropic reveló que su herramienta ya identificó más de 10.000 vulnerabilidades de gravedad alta o crítica en algunos de los sistemas más importantes de internet. De acuerdo con una publicación en su web, la empresa reveló que lleva semanas documentando los resultados de Project Glasswing, una iniciativa que tiene como objetivo reforzar el software crítico antes de que la IA caiga en manos de los hackers.

Los resultados de todo este tiempo incluyen vulnerabilidades de todo tipo en empresas como Cloudflare, Mozilla y algunas instituciones. Según el informe, Cloudflare encontró 2.000 errores en sus sistemas de ruta crítica, 400 de ellos de gravedad alta o crítica, con una tasa de falsos positivos inferior a la de los evaluadores humanos. Por su parte, Mozilla identificó 271 vulnerabilidades en Firefox 150 durante las pruebas con Mythos Preview, una cifra diez veces mayor de la que encontró en Firefox 148 con Claude Opus 4.6.

Uno de los casos más concretos que Anthropic ha documentado implica a wolfSSL, una librería criptográfica de código abierto presente en miles de millones de dispositivos. Mythos Preview construyó un exploit capaz de falsificar certificados digitales, lo que permitiría a un atacante hacerse pasar por un banco o proveedor de correo con una web de apariencia completamente legítima. La vulnerabilidad, registrada como CVE-2026-5194, ya ha sido parcheada.

El efecto de Claude Mythos en el software de código abierto En paralelo a los proyectos con socios, Anthropic lleva meses analizando más de 1.000 proyectos de código abierto que sustentan buena parte de internet. El modelo ha identificado 6.202 vulnerabilidades de gravedad alta o crítica, de las cuales una firma independiente ha revisado 1.752. A este ritmo, la empresa estima que el número de fallos críticos verificados en código abierto podría superar los 3.900.

Si bien Claude Mythos está descubriendo vulnerabilidades a una velocidad nunca antes vista, la IA también está generando un cuello de botella. Algunos responsables de proyectos de código abierto han llegado a pedir a Anthropic que ralentice el ritmo de sus comunicaciones, puesto que no tienen capacidad para diseñar parches a la misma velocidad. En promedio, un fallo crítico detectado por Mythos tarda dos semanas en parchearse.

Esta disparidad podría causar problemas en poco tiempo. Los modelos de IA con capacidades similares a Mythos Preview van a estar disponibles de forma más amplia en poco tiempo, y eso comprime el margen entre el descubrimiento de una vulnerabilidad y su posible explotación. "En definitiva, los modelos de clase Mythos permitirá a los desarrolladores crear software mucho más seguro al detectar errores antes de su implementación", dijo Anthropic. "Pero este período transitorio, mientras se descubren rápidamente las vulnerabilidades y se corrigen lentamente, presenta nuevos riesgos". Para acelerar este proceso, Anthropic ha lanzado Claude Security en beta pública para clientes empresariales.

Esta herramienta para escanear código y generar correcciones automáticas ya ha parcheado más de 2.100 vulnerabilidades en apenas tres semanas. La compañía también abrió un programa que permite a investigadores de seguridad legítimos usar los modelos sin ciertas restricciones diseñadas para evitar abusos. Anthropic prometió que lanzará una versión pública de Claude Mythos, pero solo hasta que haya medidas de seguridad más sólidas.