Anthropic presentó Mythos: la IA para descubrimiento de vulnerabilidades ya está cambiando la ciberseguridad y la guerra

Mythos para Anthropic no es solo otra versión de un chatbot, sino una señal de que la IA ha cruzado un umbral donde puede cambiar significativamente tanto la ciberseguridad como la planificación militar. El modelo no solo puede encontrar errores en el código, sino también convertirlos en exploits funcionales con una participación humana mínima. Es precisamente por esto que la empresa no le dio acceso público masivo, y Gregory Allen, asesor senior del centro Wadhwani AI del CSIS, afirma directamente: tales sistemas simultáneamente fortalecen las defensas y hacen el mundo más peligroso en el período de transición, mientras que el software vulnerable aún no ha sido reescrito ni parcheado.

Anthropic anunció Claude Mythos Preview el 7 de abril de 2026. La empresa describe el modelo como un sistema de propósito general de nivel avanzado con fuertes capacidades de agente en codificación y razonamiento, pero la principal distinción de Mythos es su nivel de capacidades ciber. Según Anthropic, el modelo ya ha encontrado miles de vulnerabilidades de alta criticidad, incluyendo problemas en todos los sistemas operativos principales y en todos los navegadores web principales.

En materiales oficiales, la empresa afirma que Mythos es capaz de detectar y explotar autónomamente vulnerabilidades zero-day. En pruebas internas y externas, esto se ve como un salto cualitativo: en el benchmark CyberGym, el modelo mostró 83,1% versus 66,6% del modelo anterior más cercano de Anthropic. Entre ejemplos ya divulgados están un error de 27 años en OpenBSD, una vulnerabilidad de 16 años en FFmpeg y una cadena de bugs en el kernel de Linux.

Debido a preocupaciones de doble uso, Mythos no fue lanzado públicamente. En su lugar, Anthropic lanzó Project Glasswing—un programa limitado a través del cual el modelo se proporciona a empresas y organizaciones responsables del software e infraestructura crítica. Entre los socios iniciales, la empresa enumera AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks y Linux Foundation.

Además, se dio acceso a más de 40 organizaciones adicionales que mantienen o construyen software crítico. Anthropic está asignando hasta $100 millones en créditos de uso de Mythos para este programa y otros $4 millones en donaciones directas al ecosistema open source. La lógica es directa: si tales modelos pronto se ponen más ampliamente disponibles, los defensores necesitan al menos una pequeña ventana de tiempo para lograr cerrar los agujeros más peligrosos.

Allen cree que esta ventana de tiempo es precisamente la historia clave. Según él, la ciberseguridad ha vivido durante muchos años bajo escasez de especialistas, y buenos atacantes e investigadores de vulnerabilidades son demasiado caros y raros. Si la IA comienza a realizar una parte significativa de este trabajo por sí misma, toda la economía de la industria cambia.

En un escenario ideal, casi todos los nuevos productos de software pasarán por algo como una prueba Mythos antes del lanzamiento: el modelo intentará romperlo antes de que los actores maliciosos lo hagan. Pero entre el estado actual de internet y este escenario existe una vasta capa de código heredado, incluidos proyectos open source que dependen de pequeños equipos y voluntarios. Allen estima los próximos 12 meses como un período de reestructuración a gran escala y dolorosa, especialmente para bancos, empresas de energía y otros propietarios de infraestructura crítica.

También argumenta que el gobierno federal estadounidense está lejos de crear un modelo avanzado comparable y, por lo tanto, depende de empresas privadas; en el caso de Anthropic, según su evaluación, la brecha frente a los competidores podría ser de seis a 18 meses. El lado militar de la conversación suena no menos duro. Allen dice que los modelos Anthropic son útiles no solo en defensa cibernética, sino también en operaciones de inteligencia y combate, y afirma que tales capacidades de IA ya están siendo utilizadas por EE.

UU. en la guerra con Irán. Como marco, recuerda Project Maven: inicialmente era un intento de automatizar el análisis primario de flujos de video de drones y satélites para aliviar a los analistas.

Ahora, según él, la combinación de visión por computadora y modelos de lenguaje grandes permite no solo marcar un objeto en pantalla, sino comparar cambios a lo largo del tiempo, identificar anomalías, formular una primera versión de un resumen de inteligencia y acelerar todo el ciclo de toma de decisiones. Allen proporciona una cifra impactante: mientras que anteriormente el referente para el sistema estadounidense eran docenas de ataques por día, en las primeras 24 horas de la campaña iraní, según él, fueron aproximadamente 1.000 objetivos golpeados en 24 horas.

Y detrás de cada tal cifra están no solo los ataques en sí, sino miles de decisiones sobre procesamiento de inteligencia, identificación y priorización de objetivos móviles y enmascarados. La conclusión principal aquí es que Mythos es importante no como un modelo cerrado raro en sí mismo, sino como un signo de una nueva fase. La IA está comenzando a reemplazar mano de obra especializada escasa en las áreas más sensibles—desde auditorías de código hasta análisis de inteligencia.

Para el mercado, esto significa mayor demanda de remediación acelerada de vulnerabilidades, nuevos estándares de desarrollo seguro por defecto y vínculos más estrechos entre laboratorios de IA, nubes, bancos y el estado. Para gobiernos—una dependencia incómoda de desarrolladores privados que se mueven más rápido que la burocracia. Y para todos los demás—una pequeña ventana cuando las mismas herramientas aún pueden ser utilizadas principalmente para defensa, en lugar de ataque.