Por qué Anthropic permite compartir hallazgos de ciberseguridad generados por Mythos AI

En ciberseguridad, un zero‑day es una vulnerabilidad que aún no ha sido detectada por los desarrolladores del software. Si un atacante la explota antes de que exista un parche, el impacto puede ser masivo.

La ventaja potencial de Mythos es clara: encontrar esos fallos antes que los atacantes para corregirlos a tiempo. Pero el mismo poder también genera preocupación. Si la herramienta estuviera disponible públicamente, podría ayudar a descubrir y explotar debilidades en millones de sistemas.

Por esa razón, Anthropic decidió no lanzar el modelo al público y limitar su uso a un programa controlado llamado Project Glasswing.

Cómo funciona la nueva función para compartir amenazas

Al inicio del programa, los participantes tenían restricciones estrictas —incluidos acuerdos de confidencialidad— que limitaban compartir los hallazgos generados por Mythos.

La política cambió recientemente. Ahora, las organizaciones participantes pueden compartir información sobre vulnerabilidades o amenazas con otras entidades que puedan estar expuestas al mismo problema.

En la práctica, el mecanismo funciona así:

• Una organización detecta una vulnerabilidad usando Mythos
• Identifica qué otros sistemas o empresas podrían verse afectados
• Comparte la información para que esos equipos puedan investigar, parchear o mitigar el fallo rápidamente

Este enfoque se acerca al modelo tradicional de divulgación responsable de vulnerabilidades, donde investigadores y empresas coordinan para corregir fallos antes de que se conviertan en ataques masivos.

Las empresas que participan en Project Glasswing

Project Glasswing reúne a grandes actores del sector tecnológico, financiero y de ciberseguridad para probar el modelo en entornos controlados.

Entre las organizaciones participantes se encuentran:

• Amazon Web Services (AWS)
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• Nvidia
• Palo Alto Networks
• The Linux Foundation

Estas empresas gestionan o protegen infraestructuras digitales usadas por miles de millones de personas, lo que las convierte en socios clave para probar herramientas avanzadas de detección de vulnerabilidades a gran escala.

Por qué el acceso sigue siendo extremadamente limitado

A pesar de permitir compartir información sobre amenazas, Anthropic mantiene un control muy estricto sobre quién puede usar Mythos.

El motivo principal es el riesgo de uso malicioso. Informes iniciales sugieren que el modelo puede encontrar rápidamente vulnerabilidades graves en sistemas ampliamente utilizados, algo que podría ser explotado por ciberdelincuentes si la tecnología se filtrara o se distribuyera sin control.

Para reducir ese riesgo, la empresa aplica varias medidas:

• Acceso limitado a un pequeño grupo de organizaciones verificadas
• Uso restringido a investigación defensiva de ciberseguridad
• Ejecución del modelo en entornos controlados dentro de Project Glasswing

Reguladores y gobiernos siguen el tema de cerca

El potencial impacto de herramientas como Mythos ha llamado la atención de gobiernos y autoridades financieras.

Funcionarios y reguladores internacionales han solicitado reuniones informativas con Anthropic para comprender los riesgos asociados al modelo, especialmente la posibilidad de que descubra vulnerabilidades en infraestructuras financieras críticas, como bancos o sistemas de pago.

Esto muestra que la ciberseguridad impulsada por IA ya no es solo una cuestión técnica: también se está convirtiendo en un asunto de seguridad nacional y estabilidad económica.

El debate más amplio: defensa más rápida vs. nuevos riesgos

El desarrollo de herramientas como Mythos ha abierto un debate dentro de la comunidad de seguridad informática.

Por un lado, muchos expertos sostienen que descubrir vulnerabilidades más rápido y compartir información entre defensores fortalece la seguridad global. Si las fallas se detectan antes que los atacantes, se reduce la ventana de riesgo.

Por otro lado, críticos y reguladores advierten que estos sistemas podrían abaratar y acelerar las operaciones ofensivas de ciberataque si llegan a manos equivocadas.

La estrategia de Anthropic —acceso limitado, pruebas controladas y compartición selectiva de información— intenta equilibrar esos dos objetivos.

Lo que Project Glasswing anticipa sobre el futuro de la seguridad digital

El programa sugiere que la ciberseguridad podría entrar en una nueva etapa en la que los sistemas de IA descubran vulnerabilidades más rápido que los investigadores humanos.

Si esa tendencia continúa, el gran desafío ya no será solo encontrar fallos, sino controlar quién tiene acceso a las herramientas capaces de descubrirlos.

En ese sentido, Project Glasswing funciona como un experimento temprano: utilizar IA de frontera para fortalecer la defensa colectiva sin convertirla, al mismo tiempo, en una nueva arma para los atacantes.