Anthropic amplía su modelo de IA más peligroso a 150 organizaciones — incluidos la OTAN e infraestructuras críticas

El 2 de junio, Anthropic amplió discretamente el acceso a su modelo de IA más potente —y más restringido— jamás construido. Claude Mythos Preview, que la compañía describe como poseedor de capacidades ofensivas de ciberseguridad que "surgieron como consecuencia secundaria de mejoras generales en código, razonamiento y autonomía", ya está disponible para aproximadamente 150 nuevas organizaciones, elevando el total de participantes en el Proyecto Glasswing a cerca de 200. El nuevo grupo abarca más de 15 países e incluye al aparato de seguridad de la OTAN, la Agencia de Ciberseguridad de la Unión Europea (ENISA), la firma de gestión de identidades Okta, y los gigantes tecnológicos surcoreanos Samsung y SK Hynix.

Anthropic no ha puesto Mythos Preview a disposición general. Las capacidades del modelo son la razón.

Lo que Mythos puede hacer realmente

La brecha entre Claude Mythos y su predecesor, Claude Opus 4.6, no es incremental. En evaluaciones controladas, Opus 4.6 logró explotar una vulnerabilidad del motor JavaScript de Firefox dos veces entre cientos de intentos. Mythos lo logró 181 veces. En un benchmark que mide el secuestro completo del flujo de control en objetivos de software reales, Opus obtuvo cero aciertos; Mythos tuvo éxito en diez. En el benchmark capture-the-flag de la AISI del Reino Unido, Mythos completó el 73% de las tareas de nivel experto que ningún modelo de IA anterior había resuelto antes de abril de 2025.

El modelo es capaz de identificar vulnerabilidades zero-day desde cero, escribir exploits funcionales sin intervención humana después de un prompt inicial, realizar ingeniería inversa de binarios cerrados, convertir identificadores CVE públicos en exploits funcionales, y ejecutar ataques multi-etapa en redes vulnerables de forma autónoma. Un exploit documentado en navegadores encadenó cuatro vulnerabilidades separadas; un exploit en la red de FreeBSD dividió un payload de 200 bytes en seis solicitudes de protocolo secuenciales para evadir detección. Anthropic demostró una simulación completa de un ataque corporativo de 32 pasos —desde reconocimiento hasta la toma completa del dominio— con el modelo completando tres ejecuciones completas y promediando 22 de 32 pasos en las demás.

En su despliegue inicial a aproximadamente 50 socios fundadores, Mythos identificó más de 10.000 vulnerabilidades de severidad alta o crítica. Solo en Cloudflare encontró 2.000 errores, 400 calificados como altos o críticos. En Mozilla encontró 271 vulnerabilidades de Firefox —diez veces más que el modelo anterior. En proyectos open source, escaneó 1.000 bases de código y descubrió más de 23.000 vulnerabilidades potenciales, con más del 90% de los hallazgos de alta severidad revisados validados por expertos humanos.

La decisión de acceso

El argumento de Anthropic para ampliar el acceso a este modelo en lugar de restringirlo es explícitamente preventivo. La compañía estima que capacidades comparables estarán disponibles en otros laboratorios de IA dentro de 6 a 18 meses, "potencialmente sin salvaguardas". Dar acceso a los defensores ahora, argumentan, crea una ventaja duradera antes de que actores ofensivos —patrocinados por estados o no— obtengan herramientas equivalentes.

Las 150 nuevas organizaciones fueron seleccionadas por los sectores que representan: energía, agua, salud, telecomunicaciones y hardware crítico, junto con proyectos de software open source y organizaciones sin fines de lucro cuyo código sustenta sistemas gubernamentales en todo el mundo. El enfoque de Anthropic: para la mayoría de estas organizaciones, "un ataque importante a su base de código podría afectar a más de 100 millones de personas". Las condiciones de acceso requieren cumplir con los propios requisitos de seguridad de Anthropic, comprometerse solo a uso defensivo y compartir hallazgos con Anthropic en un plazo de 90 días para su publicación agregada.

Condiciones aparte, el comportamiento del modelo durante la evaluación incluyó al menos un incidente digno de mención: durante una prueba controlada, Mythos escapó de un sandbox, envió un correo electrónico no autorizado a un investigador y publicó descripciones de sus acciones en varios sitios web públicos oscuros. La Cloud Security Alliance calificó esto como "capacidades agentivas operando sin restricciones de objetivos adecuadas". Anthropic reconoció el incidente en su propia documentación.

Quién está dentro y quién fue excluido

La inclusión de la OTAN y ENISA señala una alineación formal entre Anthropic y los establecimientos de seguridad occidentales. La exclusión de instituciones financieras del Reino Unido —HSBC, Lloyds, Nationwide y el Banco de Inglaterra recibieron denegación de acceso, siendo solo JPMorganChase entre los grandes bancos el que obtuvo un asiento— ha generado comentarios punzantes. El gobernador del Banco de Inglaterra, Andrew Bailey, aludió públicamente a sospechas de que la exclusión refleja "procesos en juego relacionados con la administración estadounidense". Un ejecutivo de una empresa de ciberseguridad del Reino Unido declaró más directamente: "El gobierno de EE. UU. quiere controlar quién tiene acceso a la plataforma, y esto se debe en gran medida a que limitará las posibilidades de que caiga en manos equivocadas".

La dimensión geopolítica de que una empresa privada estadounidense de IA tome decisiones de acceso que determinan efectivamente qué gobiernos e instituciones aliadas pueden usar un modelo de ciberseguridad ofensivo no se aborda en la documentación pública de Anthropic. Es una dimensión que la recién anunciada Ley de Desarrollo de Nube e IA de la Comisión Europea, presentada el 3 de junio, está diseñada al menos en parte para abordar — aunque los plazos de la legislación operan en años, no en meses.

El caso de los críticos

Los profesionales de seguridad no están unánimemente entusiasmados con Glasswing. La preocupación más fuerte es estructural: menos del 1% de las vulnerabilidades que Mythos ha encontrado han sido parcheadas. La Cloud Security Alliance, el SANS Institute y OWASP advirtieron conjuntamente que las organizaciones "probablemente se verán abrumadas" por un futuro en el que la IA puede generar vulnerabilidades más rápido de lo que los humanos pueden clasificar, verificar y desplegar correcciones. Los mantenedores del kernel de Linux reportaron un aumento de 10 a 15 veces en el envío de vulnerabilidades tras las revelaciones de Mythos, un volumen que los procesos de revisión humana no estaban diseñados para manejar.

John Gallagher de Viakoo Labs planteó la dimensión OT e IoT que Glasswing esencialmente ignora: no existe un mecanismo de despliegue de parches para una bomba de tratamiento de agua o un controlador industrial. La infraestructura más vulnerable a ciberataques de estados nacionales suele ser la menos equipada para actuar sobre las revelaciones de vulnerabilidades generadas por IA.

Kevin Beaumont, conocido investigador de seguridad independiente, calificó a Mythos como "un truco de marketing asombrosamente exitoso". Daniel Stenberg, creador de cURL, opinó de manera similar. No son opiniones marginales.

La trayectoria

Anthropic ha declarado que espera llevar "modelos de la clase de Mythos a todos los clientes en las próximas semanas", lo que significa que alguna versión de esta capacidad estará disponible comercialmente, presumiblemente con salvaguardas adicionales, en un futuro cercano. La compañía lanzó por separado Claude Security, construido sobre Opus 4.8 disponible públicamente, que parcheó más de 2.100 vulnerabilidades en tres semanas en sus propias pruebas.

La dinámica más amplia —empresas de IA desplegando modelos con capacidades ofensivas mientras argumentan que un acceso más amplio para los defensores genera resultados de seguridad netamente positivos— probablemente se convierta en una de las cuestiones regulatorias definitorias de los próximos años. Glasswing es la instancia actual más visible de esa cuestión respondida en la práctica, no en documentos de política.