Antrópico el viernes revelado que el Proyecto Glasswing ha ayudado a descubrir más de 10.000 vulnerabilidades de gravedad alta o crítica en algunos de los software más «sistémicamente» importantes en todo el mundo desde que se puso en marcha la iniciativa de ciberseguridad el mes pasado.
El Proyecto Glasswing es un esfuerzo liderado por la empresa de inteligencia artificial (IA), como parte del cual un pequeño grupo de unos 50 socios obtuvo acceso a Claude Mythos Preview, un modelo de frontera con capacidades para encontrar vulnerabilidades en software ampliamente utilizado.
De estas vulnerabilidades, 6202 han sido clasificadas como fallas de gravedad alta o crítica que afectan a más de 1000 proyectos de código abierto. Un análisis posterior de estos candidatos a vulnerabilidad ha identificado que 1.726 son verdaderos positivos válidos. Se evalúa que hasta 1.094 fallas son de gravedad alta o crítica.
Una de las debilidades identificadas es una falla crítica en WolfSSL (CVE-2026-5194puntuación CVSS: 9,1) que podría permitir a un atacante falsificar certificados y hacerse pasar por un servicio legítimo. En total, estos esfuerzos han llevado a que se parcheen 97 hallazgos y se emitan 88 avisos.
«La relativa facilidad de encontrar vulnerabilidades en comparación con la dificultad de solucionarlas representa un desafío importante para la ciberseguridad», reconoció Anthropic. «Afrontar este desafío con éxito hará que nuestro software sea mucho más seguro que antes».
El desarrollo se produce cuando los proveedores de software están enviando más correcciones que nunca antesimpulsado por un aumento en el descubrimiento de vulnerabilidades asistido por IA, y Microsoft señaló que la cantidad de nuevos parches que espera lanzar mensualmente «continuará teniendo una tendencia mayor durante algún tiempo».
La plataforma de seguridad ofensiva autónoma XBOW tiene descrito Mythos Preview como «un avance importante» que es «sustancialmente mejor que los modelos anteriores para encontrar candidatos a vulnerabilidades» y «experto en analizar el código fuente con una mentalidad de seguridad». Análisis recientes también han encontrado que el modelo sobresale en convirtiendo vulnerabilidades en cadenas de ataque de un extremo a otro.
La utilidad de Mythos Preview, añadió Anthropic, va más allá de encontrar fallos de seguridad. En un caso, se dice que un banco asociado de Glasswing aprovechó el modelo de inteligencia artificial para detectar y prevenir una transferencia bancaria fraudulenta de 1,5 millones de dólares después de que un actor de amenazas desconocido violara la cuenta de correo electrónico de un cliente e hiciera llamadas telefónicas falsas.
Dado que modelos con capacidades similares a Mythos podrían estar ampliamente disponibles en un futuro próximo, Anthropic insta a los desarrolladores de software a acortar sus ciclos de parches y poner a disposición correcciones de seguridad. Vale la pena mencionar aquí que Oracle recientemente pasó a una ciclo de parche mensual para abordar cuestiones críticas de seguridad.
«Los defensores de la red deberían acortar los plazos de implementación y prueba de parches», dijo Anthropic. «Estos incluyen pasos como reforzar las configuraciones predeterminadas de las redes, hacer cumplir la autenticación multifactor y mantener registros completos para la detección y respuesta».
La compañía de IA también dijo que ha lanzado un Programa de verificación cibernética que permite a los profesionales de la seguridad utilizar sus modelos sin barreras de seguridad para fines legítimos, como investigación de vulnerabilidades, pruebas de penetración y formación de equipos rojos. Esto es similar a Daybreak de OpenAI, que también permite a los defensores aprovechar GPT-5.5-Cibernético para flujos de trabajo especializados.
Modelos como Mythos Preview y GPT-5.5-Cyber aún no se han lanzado al público debido a la preocupación de que actualmente no existen salvaguardias adecuadas para evitar su uso indebido a gran escala.
«Glasswing ayuda a los ciberdefensores sistémicamente más importantes a obtener una ventaja asimétrica», señaló. «Sin embargo, existe una necesidad urgente de que tantas organizaciones como sea posible refuercen sus defensas cibernéticas. Esperamos que nuestros modelos generalmente disponibles y las nuevas herramientas, recursos e investigaciones que estamos brindando para acompañarlos apoyen a esas organizaciones a mejorar su postura de ciberseguridad».
