Project Glasswing: el plan de Anthropic para encontrar 10.000 vulnerabilidades antes de que la IA pueda explotarlas
Anthropic reporta más de 10.000 vulnerabilidades encontradas en un mes con Claude Mythos Preview. Cloudflare, Mozilla y otros socios multiplicaron por 10 su tasa de detección de bugs. El nuevo cuello de botella es parchear a tiempo.
Hace un mes, Anthropic lanzó Project Glasswing, una iniciativa colaborativa que busca asegurar el software más crítico del mundo antes de que modelos de IA cada vez más capaces puedan ser usados contra él. Un mes después, los resultados son preocupantes — y esperanzadores al mismo tiempo.
Más de 10.000 vulnerabilidades encontradas en semanas
Según el primer informe público del proyecto, los aproximadamente 50 socios involucrados han identificado más de diez mil vulnerabilidades de alta o crítica severidad usando Claude Mythos Preview. Entre ellos:
Cloudflare: 2.000 bugs encontrados (400 de alta o crítica severidad), con una tasa de falsos positivos que su equipo considera mejor que la de testers humanos.
Mozilla: 271 vulnerabilidades en Firefox 150 — más de diez veces las encontradas en Firefox 148 con Claude Opus 4.6.
XBOW: califica a Mythos Preview como "un paso adelante significativo respecto a todos los modelos existentes" en su benchmark de explotación web.
La tasa de descubrimiento se multiplicó por 10
El dato más impactante es que varios socios han reportado que su tasa de detección de bugs se ha multiplicado por más de diez. Esto no significa que el software sea ahora más vulnerable — significa que tenemos herramientas mucho mejores para encontrar los fallos que ya existían.
El UK's AI Security Institute confirma que Mythos Preview es el primer modelo en resolver sus dos cyber ranges (simulaciones de ataques multietapa) de principio a fin. En ExploitBench y ExploitGym, dos benchmarks académicos para medir capacidades de desarrollo de exploits, Mythos Preview obtiene los mejores resultados registrados.
El ejemplo de wolfSSL: un exploit forging certificados
Uno de los casos más ilustrativos involucra a wolfSSL, una biblioteca de criptografía open source conocida por su seguridad y usada por miles de millones de dispositivos. Mythos Preview construyó un exploit que permitiría a un atacante falsificar certificados — por ejemplo, para hostear un sitio falso de un banco que parecería completamente legítimo para el usuario final.
En código abierto, Mythos Preview ha escaneado más de 1.000 proyectos fundamentales para el funcionamiento de internet. De las 6.202 vulnerabilidades de alta o crítica severidad estimadas, 1.752 han sido evaluadas por empresas de seguridad independientes: el 90,6% resultaron ser positivos reales, y el 62,4% fueron confirmadas como alta o crítica severidad.
El cuello de botella ahora es la remediación
Aquí es donde la historia se pone interesante. Según Anthropic, el progreso en seguridad del software solía estar limitado por cuánto tardábamos en encontrar nuevas vulnerabilidades. Ahora está limitado por cuánto tardamos en verificar, disclosure y parchear las que la IA encuentra.
Las consecuencias son visibles: el último release de Palo Alto Networks incluyó cinco veces más parches de lo habitual. Microsoft ha reportado que el número de nuevos parches "seguirá aumentando durante un tiempo". Oracle está encontrando y parchando vulnerabilidades en sus productos y cloud a velocidades antes inimaginables.
Un ejemplo práctico: 1,5 millones salvados
En uno de los bancos socios de Glasswing, Mythos Preview ayudó a detectar y prevenir un transferencia fraudulenta de 1,5 millones de dólares después de que un actor de amenaza comprometiera la cuenta de email de un cliente y realizara llamadas de spoofing.
¿Qué significa esto para la industria?
Glasswing representa un cambio de paradigma en cómo pensamos la seguridad del software. La pregunta ya no es si la IA puede encontrar vulnerabilidades — la evidencia demuestra que puede encontrar muchas más, más rápido y con menos falsos positivos que testers humanos. La pregunta es cómo construir los procesos para verificar los hallazgos a la velocidad que la IA los genera, hacer coordinated disclosure sin exponer a usuarios antes de parches, y parchear a una escala antes inalcanzable.
El proyecto también plantea preguntas incómodas sobre el ritmo al que avanzan las capacidades ofensivas de la IA frente a las defensivas. Si Mythos Preview ya puede construir exploits funcionales para vulnerabilidades reales, el reloj corre. Glasswing es el intento más serio hasta la fecha de cerrar esa brecha antes de que se convierta en crisis.