Mythos de Anthropic se presenta a más de 40 socios: descubrimiento autónomo de zero-days a escala
El modelo más avanzado de Anthropic, Mythos, está siendo evaluado bajo el restringido programa Project Glasswing por socios como Amazon, Apple, Cisco y Microsoft. Identificó miles de zero-days de forma autónoma en sistemas operativos y navegadores principales.
Mythos de Anthropic no es un lanzamiento de producto. Es una demostración de capacidad que plantea preguntas legítimas sobre hacia dónde se dirige el ataque asistido por IA — y a qué velocidad.
Bajo el nombre Project Glasswing, Mythos Preview ha sido puesto a disposición de más de 40 organizaciones asociadas: Amazon, Apple, Broadcom, Cisco, CrowdStrike, la Linux Foundation, Microsoft y Palo Alto Networks, entre otras. El enfoque declarado es defensivo — los socios acceden al modelo para entender la superficie de amenaza y endurecer sus sistemas antes de que esta capacidad se generalice. El subtexto es más difícil de ignorar: existe un modelo que puede encontrar y explotar vulnerabilidades de forma autónoma a una escala que ningún equipo humano podría igualar.
Lo que Mythos hizo realmente
Durante la evaluación interna de Anthropic, Mythos Preview identificó de forma autónoma miles de vulnerabilidades zero-day en todos los sistemas operativos y navegadores principales. No requirió intervención humana después del prompt inicial. El resultado más llamativo: Mythos encontró y explotó una vulnerabilidad de ejecución remota de código de 17 años de antigüedad en FreeBSD sin ninguna orientación adicional. Diecisiete años con ese fallo sin que ningún investigador humano lo detectara.
Anthropic describe Mythos como un “cambio de nivel” — una expresión que la compañía ha evitado históricamente con fines de marketing y que reserva para saltos genuinos de capacidad. En este contexto significa que el modelo supera a todos los investigadores de seguridad ofensiva humanos salvo a los más habilidosos.
Project Glasswing: qué es y qué no es
Glasswing es una vista previa restringida, no un producto. No hay fecha de disponibilidad general. Los socios firmaron acuerdos de confidencialidad y participan bajo un marco estructurado de uso responsable. Anthropic apuesta a que la divulgación temprana a los defensores genera un balance positivo frente a mantener la capacidad en uso interno — una posición defendible, aunque no unánimemente compartida en la comunidad de seguridad.
La existencia del modelo se filtró el 26 de marzo a través de un CMS mal configurado en un subdominio de Anthropic. La compañía lo presentó formalmente a los socios el 7 de abril y no ha comentado el intervalo entre la filtración y el anuncio oficial.
Por qué esto importa más allá de Anthropic
Todos los laboratorios de frontera están construyendo hacia esta capacidad. Google DeepMind, OpenAI y Meta tienen programas activos en investigación de vulnerabilidades asistida por IA. Lo que hace notable la divulgación de Mythos es que Anthropic publicó datos concretos — miles de zero-days, un exploit específico nombrado, los socios identificados — en lugar de hablar en términos generales.
El RCE de 17 años en FreeBSD es el dato que debería captar la atención. Bases de código antiguas, infraestructura heredada, sistemas embebidos — son exactamente los objetivos donde los ciclos de auditoría humana son más largos y la recompensa para un atacante paciente es mayor.
Para los defensores, la implicación inmediata no es el temor a Mythos en sí, que permanece bajo acceso controlado. Es que cualquier actor de amenazas con recursos para construir o adquirir algo similar tiene ahora una imagen mucho más nítida de lo que es alcanzable.
La velocidad de parcheo necesita igualar la velocidad de descubrimiento. Ahora mismo, no lo hace.