Anthropic ha publicado los primeros resultados de Project Glasswing, una iniciativa que utiliza modelos avanzados de inteligencia artificial para buscar vulnerabilidades en software crítico antes de que capacidades similares puedan ser usadas por atacantes. El dato más relevante no es solo el volumen de fallos encontrados, sino el cambio de equilibrio que deja entrever: la detección empieza a acelerarse mucho más que la verificación, la divulgación responsable y el parcheo.
La compañía asegura que, junto a unos 50 socios, ha utilizado Claude Mythos Preview para identificar más de 10.000 vulnerabilidades de severidad alta o crítica en software clave para internet y otras infraestructuras. En paralelo, Anthropic ha escaneado más de 1.000 proyectos open source, muchos de ellos presentes en la cadena de suministro de innumerables organizaciones. El resultado apunta a una nueva fase para la ciberseguridad: encontrar fallos puede dejar de ser el principal cuello de botella.
El nuevo problema: demasiados hallazgos para pocos mantenedores
El gráfico publicado por Anthropic ilustra bien la presión que se avecina. Project Glasswing partió de 23.019 hallazgos candidatos en software open source. De ellos, 1.900 fueron revisados por firmas externas de seguridad; 1.726 se confirmaron como válidos, con una tasa de verdaderos positivos del 90,8 %; 1.596 llegaron a notificarse a mantenedores; 1.451 fueron reconocidos por estos; y, a 22 de mayo de 2026, 97 figuraban como parcheados y 88 habían generado avisos de seguridad.
La caída entre cada fase no debe leerse solo como descarte técnico. Refleja el coste humano de convertir un hallazgo en una corrección segura: reproducir la vulnerabilidad, valorar su severidad, comprobar si ya existe una mitigación, redactar un informe útil, coordinarse con el mantenedor y esperar a que el parche llegue a los usuarios.
| Fase del proceso | Cifra comunicada |
|---|---|
| Hallazgos candidatos | 23.019 |
| Revisados por firmas externas | 1.900 |
| Confirmados como válidos | 1.726 |
| Tasa de verdaderos positivos | 90,8 % |
| Comunicados a mantenedores | 1.596 |
| Reconocidos por mantenedores | 1.451 |
| Parcheados upstream | 97 |
| Avisos de seguridad publicados | 88 |
Este punto es especialmente delicado para el software libre. Muchos proyectos esenciales para internet dependen de equipos pequeños o mantenedores voluntarios. Anthropic reconoce que algunos responsables de proyectos le han pedido ralentizar las comunicaciones porque no tienen capacidad para procesar el volumen de informes. La paradoja es evidente: la IA puede mejorar la seguridad del software, pero también puede saturar a quienes deben arreglarlo.
Mythos Preview y la ventaja defensiva
Project Glasswing nace con una premisa clara: si los modelos de IA avanzados pueden encontrar vulnerabilidades complejas, los defensores deben tener acceso temprano a esas capacidades antes de que se generalicen. Claude Mythos Preview, el modelo empleado por Anthropic y sus socios, no está disponible públicamente porque la compañía considera que aún no existen salvaguardas suficientes para evitar usos maliciosos de alto impacto.
Según Anthropic, varios socios han multiplicado por más de diez su ritmo de detección de bugs. Cloudflare habría localizado 2.000 fallos en sistemas críticos, de los cuales 400 serían de severidad alta o crítica, con una tasa de falsos positivos que su equipo considera mejor que la de testers humanos. Mozilla también aparece como uno de los casos destacados: durante las pruebas con Mythos Preview encontró y corrigió 271 vulnerabilidades en Firefox 150, más de diez veces las detectadas en Firefox 148 con Claude Opus 4.6.
La compañía también menciona evaluaciones del AI Security Institute del Reino Unido, de XBOW y de benchmarks académicos como ExploitBench y ExploitGym, donde Mythos Preview habría mostrado capacidades avanzadas en escenarios de explotación. Para los equipos de seguridad, esto tiene una lectura doble. Por un lado, la IA puede ayudar a revisar código crítico a una escala que antes era difícil de imaginar. Por otro, esas mismas capacidades podrían reducir el coste de encontrar y explotar fallos si caen en manos ofensivas.
La ventana de riesgo entre encontrar y corregir
El punto más preocupante no está en la existencia de vulnerabilidades, sino en el tiempo que permanecen abiertas. La industria suele trabajar con ventanas de divulgación coordinada, a menudo de 90 días, para dar margen a los desarrolladores a crear un parche y a los usuarios a desplegarlo. Ese modelo presupone que descubrir fallos sofisticados sigue siendo relativamente costoso.
La IA cambia ese supuesto. Si los modelos reducen mucho el tiempo necesario para encontrar bugs y construir pruebas de explotación, la ventana entre descubrimiento, corrección y despliegue se vuelve más peligrosa. La misma vulnerabilidad puede ser encontrada por defensores, investigadores independientes o actores maliciosos en plazos mucho más cortos.
Anthropic cita como ejemplo una vulnerabilidad detectada en wolfSSL, una biblioteca criptográfica open source utilizada en numerosos dispositivos. Según la compañía, Mythos Preview construyó un exploit que podía permitir a un atacante falsificar certificados y hacer pasar por legítimo un sitio controlado por él. El fallo ya está parcheado y ha sido asignado como CVE-2026-5194, con un análisis técnico pendiente de publicación.
Para un CISO, la conclusión es incómoda: la gestión de vulnerabilidades no puede seguir funcionando con ciclos lentos si la detección se acelera de forma drástica. La IA no solo aumenta el número de alertas; cambia el ritmo de la carrera.
Qué deberían hacer ahora las organizaciones
La recomendación de fondo no es nueva, pero gana urgencia. Los desarrolladores deben acortar sus ciclos de parcheo y facilitar al máximo que los usuarios actualicen. Los equipos de seguridad corporativos deben reducir los tiempos de prueba y despliegue de parches críticos, revisar dependencias de software libre, endurecer configuraciones por defecto, reforzar la autenticación multifactor y mejorar la calidad de los logs para detección y respuesta.
También será necesario separar mejor los informes útiles del ruido. Los mantenedores open source ya reciben numerosos reportes de baja calidad generados por IA. Si los modelos empiezan a producir hallazgos reales a gran escala, la diferencia entre un informe verificado y una alerta automática sin reproducir será vital.
Anthropic ha anunciado herramientas defensivas asociadas a este esfuerzo. Claude Security, en beta pública para clientes de Claude Enterprise, permite escanear bases de código y generar propuestas de corrección. Según la compañía, Claude Opus 4.7 se ha usado en tres semanas para parchear más de 2.100 vulnerabilidades en entornos empresariales. La diferencia frente al open source es clara: dentro de una empresa, el equipo suele controlar el código y puede aplicar cambios sin depender de mantenedores externos.
| Prioridad defensiva | Por qué importa |
|---|---|
| Reducir ciclos de parcheo | La detección automatizada acorta la ventana de exposición |
| Priorizar dependencias críticas | El open source sostiene gran parte de la cadena de suministro |
| Mejorar triage | El volumen de hallazgos puede saturar a los equipos |
| Automatizar pruebas de seguridad | Ayuda a validar parches sin ralentizar despliegues |
| Reforzar logs y detección | No todos los fallos estarán corregidos a tiempo |
| Apoyar a mantenedores | Muchos proyectos críticos carecen de recursos suficientes |
Project Glasswing no resuelve por sí solo el problema. Lo hace visible. Si la IA puede encontrar miles de vulnerabilidades en pocas semanas, la industria necesita más capacidad de triage, más automatización defensiva, mejores procesos de divulgación coordinada y más apoyo a quienes mantienen software crítico.
La ciberseguridad entra así en una etapa de aceleración desigual. La búsqueda de fallos avanza a ritmo de modelo. La corrección sigue dependiendo de personas, prioridades, presupuestos y ventanas de despliegue. Ese desajuste puede ser peligroso durante los próximos años.
La promesa a largo plazo es atractiva: software más seguro, fallos detectados antes de llegar a producción y defensores con herramientas mucho más potentes. El riesgo a corto plazo también es claro: una carrera en la que encontrar vulnerabilidades sea fácil y parchearlas siga siendo lento.
Preguntas frecuentes
¿Qué es Project Glasswing?
Es una iniciativa de Anthropic para usar modelos avanzados de IA en la detección defensiva de vulnerabilidades en software crítico, en colaboración con socios tecnológicos y de seguridad.
¿Qué es Claude Mythos Preview?
Es un modelo de Anthropic con capacidades avanzadas de ciberseguridad. No está disponible públicamente porque la compañía afirma que todavía hacen falta salvaguardas más fuertes frente a usos maliciosos.
¿Por qué preocupa que la IA encuentre tantos fallos?
Porque la capacidad de detectar vulnerabilidades puede crecer más rápido que la capacidad humana de verificarlas, comunicarlas, parchearlas y desplegar las correcciones.
¿Qué deberían hacer los equipos de seguridad?
Acelerar gestión de parches, revisar dependencias críticas, mejorar triage, reforzar controles básicos y prepararse para un aumento del volumen de hallazgos generados por IA.
