Anthropic publicó el primer informe sobre el programa Project Glasswing, en el marco del cual el modelo de IA Claude Mythos escaneó más de 1000 proyectos open source e identificó más de 23 000 vulnerabilidades, de las cuales más de 6200 obtuvieron una calificación high o critical. Al mismo tiempo, han aparecido indicios de que la empresa prepara el modelo para un acceso público más amplio: se han detectado menciones a claude-mythos-1-preview en las interfaces de Claude Code y Claude Security. Esta situación plantea a la industria una cuestión fundamental: cómo equilibrar el enorme potencial defensivo de este tipo de herramientas con los riesgos de su uso indebido.
Resultados de Project Glasswing en cifras
En lugar del lanzamiento público del modelo, anunciado en abril de 2026, Anthropic puso en marcha el programa cerrado Project Glasswing. Según los datos disponibles, unas 50 empresas asociadas obtuvieron acceso a Mythos, entre ellas Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft y Nvidia. Además, se concedió acceso limitado a varias organizaciones y proyectos de código abierto a través de la Linux Foundation.
Resultados clave del primer informe de Glasswing:
- Se han escaneado más de 1000 proyectos open source que constituyen la base de la infraestructura corporativa
- Se han detectado más de 23 000 vulnerabilidades
- Más de 6200 vulnerabilidades se han clasificado como high o critical
- De 1752 hallazgos críticos y de alto riesgo que pasaron por verificación manual, el 90,6 % se confirmó como vulnerabilidades reales
Una tasa de aciertos del 90,6 % es un resultado muy significativo para un análisis automatizado. A modo de comparación, las herramientas tradicionales de análisis estático de código (SAST) a menudo generan entre un 30 y un 70 % de falsos positivos, según la configuración y el tipo de proyecto. Mythos, según el informe, reduce este problema de forma considerable.
El problema de la escala: los parches no alcanzan a los hallazgos
Un detalle llamativo del informe es que parte de los participantes del programa reconoce que el volumen de problemas detectados supera la capacidad de sus equipos para publicar correcciones. Esto crea una situación paradójica: una herramienta concebida para reforzar la defensa termina generando una sobrecarga de información para los equipos de seguridad.
Este aspecto está en el centro de las preocupaciones de Anthropic. La empresa advertía que, a corto plazo, herramientas de este tipo pueden aportar más beneficios a los atacantes que a los defensores. La lógica es sencilla: al atacante le basta con una única vulnerabilidad explotable, mientras que el defensor debe cerrar todas. Si el modelo es capaz de encontrar automáticamente miles de vulnerabilidades sin corregir en software popular, la asimetría entre ataque y defensa se intensifica.
Indicios de un inminente lanzamiento público
Según informa BleepingComputer, los usuarios han encontrado menciones al modelo claude-mythos-1-preview en Claude Code y Claude Security. Algunos, supuestamente, incluso llegaron a ver la opción de cambiar a Mythos en la versión pública de Claude Code antes de que esa opción se ocultara.
En el propio informe de Glasswing, Anthropic declaró sus planes de abrir el acceso público a los modelos de la clase Mythos en un «futuro próximo», pero solo después de crear mecanismos de protección más fiables. La aparición del identificador del modelo en las interfaces de usuario puede indicar que ya se está llevando a cabo la preparación técnica para el lanzamiento.
Cabe señalar que, por el momento, Anthropic no ha ofrecido una confirmación oficial directa sobre plazos concretos para el lanzamiento público. La información sobre la aparición del modelo en las interfaces se basa en las observaciones de los usuarios y en una única fuente de noticias.
Evaluación del impacto y recomendaciones
Las posibles consecuencias de un acceso generalizado a un modelo de este tipo afectan a varias categorías de organizaciones:
- Mantenedores de proyectos open source: ya están sometidos a presión por el flujo de vulnerabilidades detectadas. El lanzamiento público del modelo multiplicará el número de informes de fallos
- Empresas que dependen de software de código abierto: más de 1000 proyectos analizados «constituyen la base de la infraestructura corporativa y de una parte significativa de Internet», según la formulación de Anthropic
- Equipos de seguridad: deben estar preparados para un fuerte aumento del número de vulnerabilidades conocidas en los componentes que utilizan
Las organizaciones que utilizan software de código abierto en infraestructuras críticas deberían ya ahora realizar un inventario de dependencias (Software Bill of Materials), reforzar la monitorización de las publicaciones de vulnerabilidades en los componentes clave y evaluar su capacidad para aplicar parches con rapidez. Si los participantes en el programa cerrado Glasswing admiten que no pueden hacer frente al flujo de hallazgos, el lanzamiento público del modelo convertirá en una habilidad crucial para cada equipo de seguridad la priorización de vulnerabilidades.
Independientemente de los plazos del lanzamiento público de Claude Mythos, el mero hecho de que exista un modelo con una precisión de detección de vulnerabilidades superior al 90 % cambia el panorama. Las organizaciones deberían centrarse en tres acciones concretas: elaborar y mantener un SBOM actualizado para todos sus productos; implantar un proceso automatizado de priorización y aplicación de parches para las dependencias open source; e incorporar a la planificación de recursos un escenario en el que el número de vulnerabilidades conocidas en los componentes utilizados aumente en un orden de magnitud.
