Anthropic Considera Mythos Demasiado Peligrosa: el Modelo Puede Comprometer Sistemas Críticos

Anthropic ha pausado efectivamente el escenario estándar de lanzamiento de un nuevo modelo de IA: tras una revisión interna, la empresa determinó que Mythos es demasiado peligrosa para un lanzamiento general. Según evaluaciones de los propios especialistas de Anthropic, el modelo es capaz no solo de ayudar con código, sino de descubrir de forma independiente y explotar vulnerabilidades críticas en la infraestructura de software de la que depende una porción significativa de la economía digital moderna. Por esta razón, Mythos no fue lanzada al acceso público, sino que fue trasladada a un régimen de uso estrictamente limitado.

Una señal alarmante surgió ya en la fase de pruebas internas. Uno de los investigadores de seguridad de Anthropic, Nicholas Carlini, obtuvo acceso anticipado a Mythos y comenzó a probar hasta qué punto el modelo podría llegar en escenarios de ataque. Los resultados resultaron tan potentes que la empresa rápidamente pasó de la evaluación estándar de calidad del modelo a discusiones sobre daños potenciales en caso de fuga o acceso masivo.

En materiales técnicos posteriores, Anthropic aclaró que Mythos es capaz de descubrir y luego explotar vulnerabilidades de día cero en todos los principales sistemas operativos y en todos los principales navegadores web, si el usuario establece tal tarea. No se trata de errores menores, sino de capas fundamentales de la infraestructura computacional. Anthropic afirma que el modelo ya ha encontrado miles de vulnerabilidades graves, incluidos problemas en el kernel de Linux, FFmpeg, OpenBSD, FreeBSD y otros componentes de los que dependen servidores, nubes, redes empresariales y dispositivos de usuario.

Algunas de las debilidades descubiertas han existido durante décadas: por ejemplo, la empresa mencionó por separado un error de 27 años ya parcheado en OpenBSD y una vulnerabilidad antigua en FFmpeg que las herramientas automatizadas habían pasado por alto anteriormente. Otro punto importante: Mythos es capaz no solo de identificar un problema, sino de ensamblar una cadena de explotación funcional, combinando múltiples debilidades en un escenario de ataque completo. Los propios especialistas de Anthropic enfatizan que el modelo no fue entrenado especialmente para ser un "hacker".

Estas capacidades, según la empresa, surgieron como un efecto secundario de la mejora general en la calidad de la programación, el razonamiento y el trabajo autónomo. Esto es precisamente lo que parece más preocupante para el mercado: las capacidades cibernéticas peligrosas emergen no en un sistema estrechamente especializado militar, sino en un modelo universal de vanguardia. Además, Anthropic describió casos en los que empleados sin experiencia formal en seguridad ofensiva ejecutaban Mythos durante la noche y por la mañana tenían un exploit funcional listo.

Esto reduce dramáticamente la barrera de entrada: lo que anteriormente requería experiencia rara ahora cada vez más se convierte en una cuestión de la solicitud correcta y los recursos computacionales. En lugar de un lanzamiento público, la empresa abrió Project Glasswing—un programa cerrado a través del cual el acceso a Mythos fue otorgado a grandes actores de tecnología y ciberseguridad, así como a más de 40 organizaciones que apoyan software crítico. Entre los socios nombrados estaban Amazon, Apple, Google, Microsoft, Cisco, CrowdStrike, Palo Alto Networks, Linux Foundation y JPMorgan Chase.

Anthropic se comprometió a asignar hasta $100 millones en créditos computacionales para este trabajo y $4 millones adicionales en apoyo directo a organizaciones de seguridad de código abierto. La lógica es directa: primero dar a los defensores tiempo para cerrar la mayor cantidad posible de agujeros en la base digital general, y solo entonces pensar en una distribución más amplia de tales modelos. Esta historia rápidamente se extendió más allá de una sola empresa.

El 7 de abril de 2026, el Secretario del Tesoro de EE.UU., Scott Bessent, y el presidente de la Reserva Federal, Jerome Powell, convocaron una reunión cerrada con líderes de los bancos más grandes para discutir riesgos asociados con Mythos y modelos de esta clase.

El Banco Central Europeo comenzó a recopilar información sobre qué tan preparados estaban los bancos para este nuevo tipo de amenaza, y el Banco de Inglaterra públicamente pidió más claridad rápidamente sobre las implicaciones de tales sistemas para la estabilidad financiera. La razón es clara: bancos, agencias gubernamentales y operadores de infraestructura crítica continúan dependiendo de pilas complejas, a menudo desactualizadas, donde una cadena de vulnerabilidades exitosa podría afectar múltiples servicios simultáneamente. La conclusión clave aquí no es que Anthropic creara un modelo "demasiado inteligente", sino que la industria aparentemente ha entrado en una nueva fase de riesgo cibernético.

Mythos se convirtió en un raro ejemplo de cuándo un desarrollador se auto-limitó un lanzamiento debido a las capacidades ofensivas de su propio producto. Pero aún más importante es esto: aunque este modelo en particular permanezca bajo control, su clase de capacidades probablemente pronto dejará de ser única. Esto significa que el debate ya no es sobre si lanzar Mythos al acceso público, sino sobre si las empresas, bancos y gobiernos lograrán reconstruir sus defensas antes de que tales herramientas caigan en manos equivocadas.