Mythos Preview construyó 8 exploits funcionales a partir de 18 parches de Firefox y 8 cadenas de exploits para el kernel de Windows en 31 minutos, colapsando la ventana de parcheo tradicional. El coste de las campañas de exploit se desplomó a menos de $50 por ejecución exitosa, y un barrido completo de un sistema op...

Create a landscape editorial hero image for this Studio Global article: According to a March 2026 Axios report on Anthropic's Mythos Preview AI, what did the company's frontier red team find when they tested the. Article summary: **Note:** The Axios report in question was published **June 8, 2026**, not March 2026. The earlier Axios stories were in April (announcement) and March (Claude Opus bug-hunting). Below is the full breakdown based on the . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Anthropic has said Mythos Preview has found thousands of high-severity vulnerabilities, including some in every major operating system and web" source context "Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models | CSO Online" Reference image 2: visual subject "Anthropic has said
En junio de 2026, el equipo rojo de frontera de Anthropic reveló una capacidad nueva e inquietante de su restringido modelo Claude Mythos Preview: la habilidad de leer parches de software divulgados públicamente y convertirlos de forma autónoma en exploits funcionales en cuestión de minutos. Los hallazgos, compartidos en exclusiva con Axios, probaron a Mythos contra vulnerabilidades de día N—fallos ya parcheados por los fabricantes pero que aún no se han aplicado en la mayoría de las organizaciones. Los resultados no solo rompieron los plazos existentes; los eliminaron .
El equipo rojo de Anthropic alimentó a Mythos con 18 parches de seguridad de Firefox y 21 parches del kernel de Windows—todos publicados después de la fecha de corte de entrenamiento del modelo—y le ordenó construir exploits funcionales. En el conjunto de Firefox, Mythos produjo de forma autónoma 8 exploits de ejecución de código funcionales sin intervención humana. En el lado del kernel de Windows, donde el código fuente no está disponible, generó 8 cadenas de exploits completas que escalaban los privilegios de un usuario básico al control total de SYSTEM .
La velocidad fue el gran titular: Mythos generó su primera prueba de concepto para Windows en 31 minutos y creó ocho exploits distintos en aproximadamente 12 horas . Para ponerlo en perspectiva, la ventana media de parcheo empresarial era de unos 70 días, sin cambios desde 2022, mientras que Mythos comprimió la fase de armamento en menos de una hora. Esta discrepancia crea lo que los analistas llaman una "brecha de parcheo" estructural: los defensores no pueden instalar correcciones más rápido de lo que una IA puede desplegar exploits generados
.
La implicación más amplia es que la ventana tradicional de día N—las semanas o meses con los que contaban los defensores entre la publicación del parche y la disponibilidad de un exploit—ha colapsado de facto .
En una evaluación separada pero relacionada, Mythos activó 13 de 14 bugs de Windows que Microsoft había clasificado como "improbables de ser explotados", llevando uno de ellos hasta el control total del sistema . La calificación de "baja explotabilidad" de Microsoft cubre actualmente entre el 80 y el 90% incluso de los bugs de gravedad crítica, lo que significa que el conjunto de vulnerabilidades que los equipos de seguridad tratan como urgentes podría necesitar expandirse aproximadamente 5 veces
. El sistema de clasificación, diseñado para un mundo donde el desarrollo de exploits requería semanas de trabajo de expertos humanos, subestima ahora la amenaza de una IA autónoma que puede hacer el mismo trabajo en minutos.
Una de las cifras más incómodas de las revelaciones de Anthropic es el coste. Las ejecuciones individuales de descubrimiento de día cero costaron menos de $50 por intento exitoso. Una campaña completa de escaneo de OpenBSD—miles de ejecuciones—costó aproximadamente $20,000 y descubrió múltiples vulnerabilidades críticas, incluido un bug de 27 años en la pila TCP de OpenBSD . Se construyeron exploits de raíz para el kernel de Linux de día N por menos de $2,000 cada uno
. La campaña total del equipo rojo de Anthropic se mantuvo muy por debajo de los $20,000 para barridos de bases de código enteras
.
Estos no son presupuestos de un Estado-nación. Son presupuestos de un desarrollador individual o de equipos pequeños, lo que significa que la barrera para el descubrimiento sofisticado de vulnerabilidades y el desarrollo de exploits ha caído drásticamente justo en el momento en que las capacidades de la IA han aumentado vertiginosamente .
Anthropic reveló Claude Mythos Preview el 7 y 8 de abril de 2026, describiendo un modelo de frontera que descubría y explotaba de forma autónoma vulnerabilidades de día cero en todos los principales sistemas operativos y navegadores web, encontrando miles de bugs de alta gravedad, incluidos fallos que habían sobrevivido a décadas de revisión experta . Debido al riesgo extremo de doble uso, Anthropic no lanzó Mythos al público. En su lugar, creó el Proyecto Glasswing, una iniciativa controlada de ciberseguridad inicialmente limitada a unos 50 socios, incluyendo AWS, Apple, Cisco, Google, Microsoft, JPMorgan y la Linux Foundation
.
A fecha de junio de 2026, Glasswing se está expandiendo a aproximadamente 150 organizaciones en más de 15 países, incluyendo agencias de seguridad nacional en Australia, el Reino Unido y varias naciones de la UE y Asia . Los socios reciben una ventana exclusiva de 90 días para parchear antes de que los hallazgos se divulguen públicamente
. A finales de mayo de 2026, Mythos había encontrado más de 10,000 vulnerabilidades de alta o crítica gravedad en software de importancia sistémica
.
Solo la colaboración de Mozilla con Anthropic resultó en 271 vulnerabilidades de día cero encontradas y corregidas en Firefox 150, el mayor lote de correcciones de seguridad en la historia del navegador .
Respuesta de la industria: Cisco se unió al grupo inicial de socios de Glasswing, junto con otras grandes firmas tecnológicas y de ciberseguridad, obteniendo acceso anticipado a Mythos para el descubrimiento defensivo de vulnerabilidades en su propio software y en el de código abierto . La asociación interna de Mozilla con Anthropic es anterior al despliegue completo de Mythos, y los resultados—271 días cero parcheados—demostraron el potencial defensivo cuando se usa de manera responsable
.
La administración Trump: La respuesta política fue turbulenta. En abril de 2026, el Director Nacional de Ciberseguridad, Sean Cairncross, lideró el alcance a las agencias, pero los recortes de fondos de CISA y las batallas políticas internas complicaron la coordinación . El 21 de mayo, Trump descartó una orden ejecutiva planificada que habría exigido a los laboratorios de IA someter los modelos de frontera a revisión gubernamental 90 días antes de su lanzamiento público, diciendo a los periodistas que no quería nada que frenara el liderazgo de Estados Unidos sobre China
.
Menos de dos semanas después, el 3 de junio, Trump firmó una orden ejecutiva revisada sobre innovación en IA y ciberseguridad que creaba un marco de revisión voluntario de 30 días para nuevos modelos de frontera—más ligero que el mandato rechazado de 90 días, pero aún así un reconocimiento de que el statu quo era insuficiente .
Mientras tanto, agencias de la administración como el Tesoro, la Reserva Federal y la Oficina de Gestión y Presupuesto se apresuraron a conseguir acceso a Mythos tras las advertencias de abril, con el Tesoro recibiendo sesiones informativas de emergencia a pesar de una directiva anterior de Trump de cesar el uso de la tecnología de Anthropic .
El Congreso: OpenAI y Anthropic mantuvieron sesiones informativas a puerta cerrada con el comité de Seguridad Nacional de la Cámara de Representantes sobre amenazas cibernéticas impulsadas por IA, marcando algunas de las primeras sesiones dedicadas a amenazas de ciberseguridad con IA para el personal del Congreso .
La implicación principal es clara: la era en que la publicación de un parche daba a los defensores semanas de margen se ha terminado, al menos contra adversarios con acceso a IA de frontera. La asimetría es evidente: las empresas aún tardan unos 70 días en parchear, mientras que la IA puede armar los mismos fallos en menos de una hora. Las organizaciones se ven ahora obligadas a reconsiderar qué vulnerabilidades tratan como urgentes, cómo priorizan los parches y si su cadencia de gestión de vulnerabilidades puede sobrevivir en un mundo donde el desarrollo de exploits se ha vuelto barato, rápido y automatizado.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Mythos Preview construyó 8 exploits funcionales a partir de 18 parches de Firefox y 8 cadenas de exploits para el kernel de Windows en 31 minutos, colapsando la ventana de parcheo tradicional.
Mythos Preview construyó 8 exploits funcionales a partir de 18 parches de Firefox y 8 cadenas de exploits para el kernel de Windows en 31 minutos, colapsando la ventana de parcheo tradicional. El coste de las campañas de exploit se desplomó a menos de $50 por ejecución exitosa, y un barrido completo de un sistema operativo costó menos de $20,000, democratizando el armamento de vulnerabilidades.
Mythos activó 13 de 14 bugs de Windows que Microsoft calificó como 'improbables de explotar', sugiriendo que la lista de vulnerabilidades que requieren parcheo urgente debe quintuplicarse.