✨︎ Resumen (TL;DR):
- Anthropic restringió su nueva IA tras detectar miles de fallas zero-day en los principales sistemas operativos.
- El modelo generó 181 exploits funcionales para Firefox, superando por 90 veces la capacidad de su versión anterior.
- Agencias gubernamentales evalúan reducir los plazos de parcheo de seguridad de tres semanas a tres días.
Claude Mythos es un modelo de inteligencia artificial que descubre y explota vulnerabilidades de software de forma autónoma. Su capacidad para acortar el tiempo entre la detección de una falla y un ataque, de semanas a solo horas, activó alertas máximas en agencias de seguridad globales.
El 7 de abril, Anthropic presentó Claude Mythos Preview junto con el Proyecto Glasswing. Este programa entregó acceso exclusivo a cerca de 40 organizaciones para tareas defensivas. Entre los participantes destacan Apple, Amazon, Microsoft, Google, CrowdStrike, Nvidia, JPMorgan Chase y la Linux Foundation.
La compañía consideró el modelo demasiado peligroso para un lanzamiento público. Durante las pruebas, la IA localizó miles de vulnerabilidades zero-day de alta gravedad. Detectó un bug en OpenBSD oculto por 27 años, una falla de ejecución remota en FreeBSD de hace 17 años y un error en FFmpeg con 16 años de antigüedad.
Frente a un entorno de prueba con Firefox, Mythos produjo 181 exploits funcionales. Esto significa una mejora de 90 veces sobre el modelo anterior de la empresa, que apenas logró dos. Actualmente, más del 99 por ciento de estas vulnerabilidades continúan sin parchear y en secreto.
El impacto en tiempo real: Copy Fail
Las implicaciones de esta tecnología ya golpearon al sector. Investigadores de Theori descubrieron “Copy Fail” (CVE-2026-31431), una falla de escalada de privilegios en el kernel de Linux. Su IA Xint Code escaneó el subsistema criptográfico durante apenas una hora.
- El exploit creado en Python pesa solo 732 bytes.
- Logró acceso root con un 100 por ciento de efectividad en Ubuntu, Amazon Linux, RHEL y SUSE.
- Afecta a los kernels distribuidos desde el año 2017.
Los desarrolladores enviaron una solución al kernel principal el 1 de abril. Sin embargo, los detalles del ataque se hicieron públicos el 29 de abril, antes de que todas las distribuciones lanzaran sus actualizaciones.
La urgencia obligó a los gobiernos a reaccionar. Reuters informó el 1 de mayo que la CISA en Estados Unidos estudia recortar el límite de remediación para agencias federales de tres semanas a tres días.
Ese mismo día, Ollie Whitehouse, CTO del National Cyber Security Centre (NCSC) del Reino Unido, pidió a las empresas “prepararse para parchear rápidamente, con mayor frecuencia y a escala”.
Para frenar el impacto, Anthropic comprometió hasta 100 millones de dólares en créditos de uso para Mythos Preview y donará 4 millones a organizaciones de seguridad open-source.
La Cloud Security Alliance proyecta una inminente tormenta de vulnerabilidades, mientras que la firma Radware clasificó la democratización de las ofensivas cibernéticas como “una realidad actual”. La deuda técnica acumulada por años en el desarrollo de software, advirtió Whitehouse, “está por vencerse, y está llegando toda a la vez”.
