Hay una forma de anunciar algo que da miedo y hacerlo sonar a buena noticia. Anthropic la encontró esta semana.
El 7 de abril, la empresa publicó el Proyecto Glasswing: 12 organizaciones, incluyendo Apple, Google, Microsoft, Amazon Web Services, NVIDIA, Cisco, CrowdStrike, JPMorganChase, Palo Alto Networks y la Linux Foundation, unidas bajo un compromiso de 100 millones de dólares. El comunicado habla de defensa, colaboración y seguridad colectiva.
Lo que no aparece en el primer párrafo, pero admite unas líneas después, es claro: el modelo que motivó esta coalición es tan peligroso que Anthropic decidió no lanzarlo al público. Eso no es filantropía. Es una carrera.
Un modelo que nadie entrenó para hacer lo que hace
Claude Mythos Preview no fue diseñado para ser un hacker. Eso es lo primero que hay que entender, y lo más inquietante.
Según el equipo de red team de Anthropic, estas capacidades emergieron como consecuencia directa de mejoras generales en código, razonamiento y autonomía, no porque el modelo fuera entrenado para encontrar vulnerabilidades. Lo mismo que lo hace mejor programador, lo hace mejor atacante.
Son la misma habilidad vista desde dos lados.
El resultado: un modelo que encontró vulnerabilidades de alta severidad en todos los sistemas operativos principales y en todos los navegadores web del mundo. No en algunos. En todos.
27 años escondido, una sola noche para encontrarlo
En OpenBSD, sistema operativo conocido por ser uno de los más seguros del mundo y utilizado en firewalls e infraestructura crítica de internet, Mythos Preview identificó de forma completamente autónoma un bug de 27 años. El fallo permitía a cualquier atacante remoto colapsar la máquina simplemente conectándose a ella.
En FFmpeg, la librería de video que usan prácticamente todos los servicios digitales del mundo, el modelo encontró una vulnerabilidad de 16 años en una línea de código que herramientas automatizadas habían revisado cinco millones de veces sin detectar nada.
En el kernel de Linux, el sistema que corre la mayoría de los servidores del mundo, Mythos Preview encadenó de forma autónoma múltiples vulnerabilidades para escalar desde un usuario común hasta el control total de la máquina.
Ninguno de estos hallazgos requirió intervención humana después del prompt inicial.
Lo que más asusta no es el modelo, sino los ingenieros
El detalle más revelador del informe técnico de Anthropic no es ninguno de los bugs anteriores. Es que los ingenieros de la empresa, sin entrenamiento formal en seguridad informática, le pidieron al modelo que encontrara vulnerabilidades de ejecución remota durante la noche. A la mañana siguiente tenían un exploit completo y funcionando.
No especialistas o hackers de élite. Ingenieros generales con un prompt y tiempo libre.
Eso cambia el cálculo de riesgo de forma fundamental. Durante décadas, la ciberseguridad dependió de una asimetría práctica: atacar bien era difícil, requería años de experiencia y conocimiento especializado. Los modelos como Mythos Preview colapsan esa asimetría. Lo que antes tardaba semanas en manos de un experto, ahora se traduce en horas en manos de cualquiera con acceso al modelo.
Por eso Anthropic no lo lanzó al público.
La coalición no es generosa, es urgente
Los cien millones de dólares en créditos de uso, las donaciones a organizaciones de código abierto, los comunicados de Cisco, Microsoft, CrowdStrike y AWS sobre defensa colectiva: todo eso es real. Pero el subtexto importa más que el texto.
Cada empresa que se unió al Proyecto Glasswing lo hizo porque entiende algo que el comunicado no dice directamente: modelos con capacidades similares a Mythos Preview van a existir pronto fuera del control de Anthropic.
El objetivo de la coalición no es solo parchear los bugs que ya encontraron. Es ganar el tiempo suficiente para reforzar la infraestructura mundial antes de que esas capacidades estén disponibles para actores que no tienen ningún incentivo para usarlas defensivamente.
El propio equipo técnico de Anthropic lo describió casi sin rodeos al destacar que no existe razón alguna para creer que Mythos Preview sea el final, sino un comienzo sobre el cual las capacidades de ciberseguridad van a iniciar su camino, para no detenerse. Esto es lo que doce empresas fueron a escuchar esta semana. A fin de cuentas, no fueron a colaborar, fueron a prepararse.