Anthropic Presentó Mythos: Nuevo Modelo de IA Amplificó Significativamente la Detección y Exploración de Vulnerabilidades

Anthropic parece haber presentado una de las primeras herramientas de IA que cambia no solo la velocidad, sino la propia mecánica de la ciberseguridad: los primeros probadores llaman a Mythos un sistema notablemente más poderoso que los modelos anteriores de la empresa, y el acceso al mismo está intencionalmente limitado por ahora para dar a los defensores una ventaja antes de que capacidades similares lleguen a los atacantes. Mythos es el nuevo modelo de Anthropic para programación y tareas basadas en agentes, pero es específicamente en ciberseguridad donde el salto ha resultado más significativo. La empresa decidió no lanzarlo para acceso amplio e inició el programa cerrado Project Glasswing.

Participan Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia y Palo Alto Networks. La lógica es sencilla: primero dar el modelo a quienes mantienen la infraestructura crítica y grandes bases de código para que tengan tiempo de encontrar y cerrar vulnerabilidades. Un matiz importante es que Mythos no parece un modelo estrecho de "hacker".

Anthropic lo describe como el sistema de propósito general más poderoso para código y tareas de agentes, y llama a las capacidades de ciberseguridad un efecto secundario de este crecimiento. Cuanto mejor entienda un modelo proyectos grandes, reescriba código y ejecute autónomamente largas cadenas de acciones, mejor encuentra y explota debilidades. Es precisamente por esto que la empresa habla no de una actualización local, sino de cruzar un umbral después del cual las medidas de seguridad anteriores ya no son suficientes.

Según comentarios de socios iniciales, Mythos maneja no solo el descubrimiento de vulnerabilidades mejor que generaciones anteriores, sino también tareas que típicamente requieren ingenieros experimentados de seguridad ofensiva: reproducir el problema, entender la ruta del ataque y encadenar múltiples vulnerabilidades en una cadeia de explotación funcional. Anthropic explícitamente afirma que su anterior Opus 4.6 era casi incapaz de llevar autónomamente errores descubiertos a un exploit funcional.

En un benchmark interno basado en Firefox, el modelo anterior logró solo un puñado de ejecuciones exitosas, mientras que Mythos pudo repetidamente desarrollar ataques a un estado funcional. Una evaluación independiente del British AI Security Institute agrega números a estas evaluaciones. En tareas de nivel experto, el modelo mostró un 73% de éxito, y en una simulación de ataque corporativo de 32 pasos, se convirtió en el primer sistema en ejecutar exitosamente el escenario desde reconocimiento hasta compromiso completo de la red.

Logró completar la cadena completa en 3 de 10 intentos, y en promedio avanzó a través de 22 de los 32 pasos. Esto importa no porque la IA de repente "inventó" un nuevo tipo de breach, sino porque ha comenzado a automatizar etapas largas y costosas para los humanos. Por ahora, Anthropic enfatiza el caso de uso defensivo.

La empresa afirma que Mythos ya ha ayudado a identificar miles de vulnerabilidades cero-día en software crítico, y ha asignado 100 millones de dólares en créditos de computación al programa de acceso temprano. Pero el lado negativo es obvio: lo que ayuda con parches y auditoría hoy puede acelerar operaciones de atacantes mañana. Los socios del proyecto advierten explícitamente que la ventana entre descubrimiento de vulnerabilidad y explotación práctica se está reduciendo de meses a minutos, especialmente si el modelo puede actuar como agente y no pierde contexto en grandes bases de código.

Para el mercado, esto es una señal que apunta en dos direcciones. Primero, la defensa cibernética deja de ser un proceso que puede cerrarse con auditorías infrecuentes y parches programados: si los modelos del nivel de Mythos se hacen realidad, la defensa también debe volverse casi continua. Segundo, el riesgo principal se desplaza de los propios "supermodelos" a la calidad de la infraestructura a su alrededor.

Las grandes empresas con fuertes equipos de seguridad probablemente integren tales herramientas en su defensa más rápidamente. Peor se ven las pequeñas y medianas organizaciones con sistemas heredados acumulados, ciclos de actualización largos y escasez de especialistas. Para ellas, la llegada de Mythos puede no ser una noticia abstracta del mundo de la IA, sino una advertencia directa.