IA de Anthropic expone más de 10.000 fallas críticas en tiempo récord

La inteligencia artificial desarrollada por Anthropic, conocida como Claude Mythos Preview, ha identificado más de 10.000 vulnerabilidades de alta o crítica gravedad en sistemas considerados estratégicos para la infraestructura de Internet y las empresas.

Esta cifra se obtuvo en colaboración con 50 organizaciones y socios, y marca un cambio relevante: la velocidad en la detección de fallas supera la capacidad humana para verificarlas, comunicarlas y repararlas, desplazando el cuello de botella hacia la gestión de los hallazgos más que a su descubrimiento.

Anthropic y su impacto en la detección de vulnerabilidades de ciberseguridad

Claude Mythos Preview, un modelo de IA aún no liberado para el público general, ha demostrado ser especialmente eficaz en la identificación de fallas de seguridad en software crítico.

Proyecto Glasswing, la iniciativa de Anthropic lanzada en abril, reúne a empresas como AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks, además de muchas otras organizaciones que mantienen proyectos esenciales para el funcionamiento digital global.

La principal aportación de esta IA radica en su habilidad para analizar código fuente y encontrar vulnerabilidades que, hasta ahora, pasaban inadvertidas para las herramientas tradicionales. Incluso logra razonar sobre posibles cadenas de explotación, superando el alcance de tecnologías previas.

Entre los sistemas donde se han hallado y corregido fallos se incluyen piezas clave como OpenBSD, FFmpeg y el kernel de Linux.

El trabajo de Claude Mythos Preview no se limita a la búsqueda superficial de errores, sino que involucra un análisis profundo capaz de anticipar escenarios de ataque más complejos y de mayor impacto potencial.

El caso de Mozilla Firefox

En abril de 2026, Mozilla comunicó que, con la ayuda de Claude Mythos Preview, fue posible corregir 271 vulnerabilidades en Firefox, el navegador que gestiona millones de usuarios a nivel mundial. Un dato relevante es que la tasa de error en la identificación de estos fallos resultó casi nula, lo que refuerza la confianza en los diagnósticos entregados por la IA.

La decisión de mantener este modelo fuera del alcance público responde a la necesidad de evitar que actores maliciosos utilicen la tecnología para buscar y explotar debilidades en sistemas críticos.

El mayor temor se concentra en sectores sensibles como el financiero, donde una falla puede desencadenar consecuencias graves para la economía y la seguridad de los usuarios.

Cloudflare y la validación técnica de la IA para ciberseguridad

Cloudflare, empresa que administra el tráfico del 80% de las páginas web del mundo, evaluó el rendimiento de Claude Mythos Preview sobre más de 50 repositorios propios.

Según sus técnicos, el modelo representa un avance frente a soluciones anteriores, al ofrecer no solo mayor precisión en la detección de bugs, sino también en la generación de pruebas de concepto y la reducción de resultados engañosos o poco útiles.

Sin embargo, desde Cloudflare insisten en que no basta con aplicar una IA de forma genérica sobre cualquier repositorio para lograr buenos resultados. El proceso requiere una orquestación precisa, con tareas bien definidas y sistemas de validación independientes, así como la duplicación de pruebas para confirmar los hallazgos. Esta metodología evita la propagación de errores y eleva la fiabilidad de los análisis.

Desafíos en la aplicación de parches y el nuevo cuello de botella humano

La capacidad de la IA para encontrar vulnerabilidades a gran velocidad ha cambiado el panorama de la ciberseguridad. Anthropic informa que, en el análisis de más de 1.000 proyectos de código abierto, Claude Mythos Preview identificó 6.202 vulnerabilidades graves o críticas entre un total de 23.019 hallazgos.

Al someter una muestra a revisión por firmas de seguridad externas, el 90,6% de los casos evaluados resultaron ser verdaderos positivos, y el 62,4% correspondían a fallos de alta o crítica gravedad.

Esta nueva realidad plantea una dificultad inesperada: los equipos encargados de mantener el software no pueden absorber el volumen de informes generados y, en ocasiones, solicitan reducir la frecuencia de las notificaciones para evitar la saturación.

El cuello de botella ya no está en la tecnología de detección, sino en la capacidad humana para comprender, reproducir y corregir los problemas antes de liberar los parches necesarios.

Restricciones y riesgos en la publicación de modelos avanzados de IA para ciberseguridad

Anthropic mantiene su decisión de no liberar Claude Mythos Preview al público, argumentando que todavía no existen mecanismos de protección adecuados para evitar usos maliciosos de modelos con estas capacidades.

Si bien la IA ofrece una ventaja defensiva considerable, también podría facilitar el trabajo a posibles atacantes, ya que reduce drásticamente el esfuerzo necesario para identificar debilidades explotables en infraestructuras críticas.

Esta postura revela la doble cara de los avances en inteligencia artificial aplicada a la ciberseguridad: mientras aumenta la eficacia de los defensores, también crece el riesgo de que la misma tecnología sea utilizada con fines opuestos. Por ello, la gestión responsable de estos desarrollos implica una vigilancia constante sobre sus aplicaciones y una evaluación ética de su alcance.