✨︎ Resumen (TL;DR):
- El modelo Claude Mythos Preview logró encadenar dos vulnerabilidades de Apple para obtener control del sistema en solo cinco días.
- Apple ya reconoció el hallazgo del fallo CVE-2026-28952 en su actualización de seguridad de mayo de 2026.
- Anthropic ha destinado 100 millones de dólares en créditos para que empresas tecnológicas busquen fallos antes que los atacantes.
La firma de ciberseguridad Calif utilizó el modelo de inteligencia artificial Claude Mythos Preview, desarrollado por Anthropic, para descubrir un exploit de escalada de privilegios en el sistema macOS de Apple. Al combinar dos vulnerabilidades existentes y técnicas de manipulación de memoria, la IA logró acceder a secciones restringidas de las computadoras de escritorio en menos de una semana.
Apple confirmó que se encuentra revisando un reporte de 55 páginas detallando estos hallazgos. Este descubrimiento es parte de la iniciativa “MAD Bugs” (Mes de errores descubiertos por IA), donde investigadores humanos colaboran con modelos avanzados para detectar grietas en el software de forma acelerada.
Colaboración entre humanos e inteligencia artificial
Aunque la IA fue capaz de construir el código del exploit en cinco días, los expertos de Calif señalaron que la intervención humana sigue siendo necesaria para concretar el encadenamiento de fallos. No obstante, la capacidad de Claude para analizar errores del kernel de Apple y realizar ingeniería inversa en parches de seguridad ha reducido drásticamente los tiempos de investigación.
En las actualizaciones de seguridad de mayo de 2026, Apple otorgó crédito oficial a “Calif en colaboración con Claude y Anthropic Research” por la detección de la vulnerabilidad CVE-2026-28952, un desbordamiento de enteros en el kernel. Este es uno de los primeros casos documentados donde una IA participa directamente en el flujo de trabajo de defensa de una Big Tech.
- Proyecto Glasswing: Anthropic lanzó este programa el 7 de abril para dar acceso a Mythos a más de 40 empresas, incluyendo Amazon, Microsoft y Google.
- Capacidad de escala: El modelo ha identificado errores antiguos, como un bug de 27 años en OpenBSD y un fallo de ejecución remota de código de 17 años en FreeBSD.
- Efectividad: En pruebas del Instituto de Seguridad de IA del Reino Unido, Mythos resolvió el 73% de los desafíos de ciberseguridad de nivel experto.
Una carrera contra el tiempo y otros actores
El éxito de Mythos subraya un problema creciente: la misma tecnología que ayuda a defender los sistemas permite a los atacantes crear exploits funcionales casi al instante de publicarse un parche. Según Calif, Claude pudo pasar de una simple línea en un aviso de seguridad de Apple a provocar un pánico del kernel confirmado en cuestión de horas.
El CEO de Anthropic, Dario Amodei, advirtió que los modelos de IA de China podrían estar a solo seis o doce meses de alcanzar las capacidades de Mythos. Esta brecha temporal impone un límite crítico para que las empresas de tecnología corrijan las miles de vulnerabilidades que este tipo de modelos están sacando a la luz antes de que sean aprovechadas por actores externos.
