TL;DR:

Anthropic dice que Claude Mythos Preview y sus socios detectaron más de 10,000 vulnerabilidades de severidad alta o crítica.

En software open-source, el modelo identificó 23,019 hallazgos, incluidos 6,202 que estimó como altos o críticos.

El reto ya no es encontrar fallas: es verificar, revelar y corregir bugs antes de que capacidades similares lleguen a manos ofensivas.

Anthropic publicó el 22 de mayo de 2026 su primera actualización de Project Glasswing, la iniciativa con la que usa Claude Mythos Preview para reforzar software crítico antes de que modelos de IA similares se usen para ataques. La compañía asegura que, junto con cerca de 50 socios, el modelo ya ayudó a encontrar más de 10,000 vulnerabilidades de severidad alta o crítica. El dato importa porque mueve el problema de la ciberseguridad: la búsqueda de fallas empieza a acelerarse, pero la verificación, divulgación y creación de parches sigue dependiendo de equipos humanos saturados.

Claude Mythos Preview es un modelo de IA no disponible públicamente que Anthropic está probando con socios de seguridad para detectar vulnerabilidades, construir pruebas de explotación y priorizar riesgos en sistemas críticos.

El mensaje central de Anthropic no es solo que su modelo encontró miles de bugs. Es que la industria entró en una etapa incómoda: la IA puede multiplicar la velocidad de descubrimiento de fallas, pero los procesos para corregirlas siguen atados a revisiones humanas, coordinación con mantenedores y ventanas de divulgación responsable.

Project Glasswing arrancó en abril de 2026 con socios como Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA y Palo Alto Networks, además de más de 40 organizaciones adicionales que construyen o mantienen infraestructura crítica. Anthropic comprometió hasta 100 millones de dólares en créditos de uso de Mythos Preview y 4 millones de dólares en donaciones directas a organizaciones de seguridad open-source.

El dato fuerte no es solo el número de bugs: es la velocidad

Anthropic afirma que varios socios aumentaron su tasa de detección de vulnerabilidades por más de 10 veces. Cloudflare, por ejemplo, reportó 2,000 bugs encontrados en sistemas críticos, incluidos 400 de severidad alta o crítica, con una tasa de falsos positivos que su equipo considera mejor que la de testers humanos.

La actualización también cita otros casos relevantes:

• Mozilla encontró y corrigió 271 vulnerabilidades en Firefox 150 durante pruebas con Mythos Preview.
• El AI Security Institute del Reino Unido reportó que Mythos Preview fue el primer modelo en resolver de extremo a extremo dos de sus cyber ranges.
• XBOW describió el desempeño del modelo como un salto relevante frente a modelos anteriores en benchmarks de explotación web.
• Palo Alto Networks incluyó más de cinco veces más parches de lo habitual en su lanzamiento más reciente, según Anthropic.
• Microsoft anticipó que el volumen de nuevos parches seguirá “tendiendo a crecer” durante algún tiempo.
• Oracle está encontrando y corrigiendo fallas en sus productos y cloud varias veces más rápido que antes, de acuerdo con la actualización de Anthropic.

El punto delicado está en el desfase. Si los modelos tipo Mythos reducen el costo de encontrar y explotar vulnerabilidades, cada retraso entre descubrimiento, parche y adopción del update se vuelve más riesgoso para empresas, gobiernos y usuarios.

El open-source ya muestra el embudo: muchos hallazgos, pocos parches

Anthropic también usó Mythos Preview para escanear más de 1,000 proyectos open-source que sostienen partes importantes de internet y de su propia infraestructura. En ese universo, el modelo generó 23,019 hallazgos de todos los niveles de severidad. De ellos, 6,202 fueron estimados por Mythos Preview como vulnerabilidades altas o críticas.

La compañía dice que 1,752 de esos hallazgos altos o críticos ya fueron evaluados por seis firmas independientes de seguridad o, en algunos casos, por Anthropic. El resultado fue relevante: 90.6% resultó ser verdadero positivo y 62.4% fue confirmado como de severidad alta o crítica. Con esas tasas de triage, Anthropic calcula que Mythos Preview va camino a haber detectado cerca de 3,900 vulnerabilidades altas o críticas en código open-source, incluso si no encontrara ninguna más.

El propio dashboard de divulgación coordinada de Anthropic muestra el tamaño del embudo. Al 22 de mayo de 2026, 10:27 PT, la empresa había divulgado 1,596 vulnerabilidades en 281 proyectos open-source; hasta donde sabe, 97 ya habían sido parcheadas y 88 recibieron un registro CVE o un aviso de seguridad en GitHub.

Ahí está la tensión: encontrar bugs se volvió más fácil, pero convertir un hallazgo en parche desplegado sigue siendo trabajo pesado.

wolfSSL revela por qué estas fallas no son abstractas

Uno de los casos citados por Anthropic involucra a wolfSSL, una biblioteca criptográfica open-source usada en miles de millones de dispositivos. Mythos Preview construyó un exploit para una vulnerabilidad ya parcheada, asignada como CVE-2026-5194, que podía permitir la falsificación de certificados.

En términos prácticos, un atacante podría simular un sitio legítimo —por ejemplo, de un banco o proveedor de correo— con apariencia confiable para el usuario. Anthropic dijo que publicará el análisis técnico completo en las próximas semanas, una vez que el proceso de mitigación reduzca el riesgo para usuarios finales.

La compañía también reconoció una realidad incómoda para el ecosistema open-source: varios mantenedores le pidieron reducir el ritmo de divulgaciones porque necesitan más tiempo para diseñar parches. En promedio, según Anthropic, una vulnerabilidad alta o crítica encontrada por Mythos Preview tarda dos semanas en corregirse.

El modelo sigue cerrado porque el riesgo también escaló

Anthropic no planea liberar Mythos Preview al público en este momento. La razón es clara: la compañía sostiene que ninguna empresa, incluida ella misma, tiene todavía salvaguardas lo suficientemente fuertes para impedir usos dañinos de modelos con estas capacidades.

Esa decisión deja una señal para el mercado. La misma capacidad que ayuda a defensores a encontrar fallas también puede abaratar el trabajo de atacantes. Si modelos comparables se vuelven ampliamente disponibles sin controles, la ventana entre “fallo descubierto” y “fallo explotado” podría comprimirse de forma agresiva.

Para amortiguar ese cambio, Anthropic está empujando herramientas más limitadas y orientadas a defensa. La empresa lanzó Claude Security en beta pública para clientes de Claude Enterprise, con funciones para escanear código y proponer fixes. Según la compañía, Claude Opus 4.7 ya se usó para parchear más de 2,100 vulnerabilidades en tres semanas.

También abrió un Cyber Verification Program para profesionales de seguridad que usan sus modelos en investigación legítima, pentesting y red teaming, y empezó a ofrecer a equipos calificados herramientas usadas con Mythos Preview: skills, un harness para mapear código y subagentes de escaneo, además de un constructor de modelos de amenaza.

Qué cambia para empresas en México y Latinoamérica

Para equipos de tecnología en México y América Latina, la lectura no es “usar IA y listo”. La lectura es más básica y más urgente: si el volumen de vulnerabilidades sube, las organizaciones que tardan semanas o meses en probar e instalar parches quedan más expuestas.

Anthropic recomienda a desarrolladores acortar ciclos de actualización y facilitar que los usuarios instalen fixes. Para defensores de red, la prioridad es reducir tiempos de prueba y despliegue de parches, además de reforzar controles que no dependen de una sola actualización: configuraciones seguras por defecto, MFA, segmentación, monitoreo y logs completos para detección y respuesta.

La novedad no es que el software tenga fallas. La novedad es que modelos como Claude Mythos Preview pueden encontrarlas a una escala que los procesos tradicionales no estaban diseñados para absorber. Quien no ajuste su operación de parches va a competir contra una velocidad que ya no es humana.

Fuentes: 1, 2, 3, 4, 5, 6, 7