Anthropic utiliza IA para cazar vulnerabilidades a gran escala en colaboración con 40 empresas
El Project Glasswing reúne a AWS, Apple, Microsoft y CrowdStrike para la detección automatizada de fallos en software crítico utilizando el Claude Mythos Preview, un modelo que aún no está disponible comercialmente.
Anthropic liberó en mayo acceso restringido a un modelo aún no lanzado comercialmente para un grupo específico de empresas con una tarea concreta: encontrar vulnerabilidades en software crítico antes de que lo hagan los atacantes. El programa se llama Project Glasswing e involucra aproximadamente 40 organizaciones, entre ellas AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, JPMorgan Chase y Palo Alto Networks. La compañía ha asignado 100 millones de dólares en créditos de uso del modelo para sustentar la iniciativa.
El modelo en cuestión es el Claude Mythos Preview, descrito por Anthropic como de frontera y con capacidad de razonamiento de código significativamente superior a las versiones comerciales disponibles. En pruebas internas, el Mythos identificó miles de vulnerabilidades zero-day en todos los principales sistemas operativos y navegadores. El caso más citado por la empresa es un fallo con 27 años de existencia en OpenBSD, sistema operativo reconocido por el rigor de sus procesos de revisión de código y pruebas automatizadas.
Anthropic no ha divulgado la lista completa de las CVEs encontradas, citando un proceso de divulgación coordinada con los fabricantes afectados. El cronograma de remediación tampoco ha sido hecho público. Arctic Wolf, uno de los socios del programa, describió la iniciativa como un punto de inflexión en el equilibrio entre atacantes y defensores, subrayando que los actores ofensivos han sido históricamente los primeros en operacionalizar capacidades de IA generativa a gran escala.
Este es exactamente el punto de tensión del Glasswing. Las mismas capacidades que identifican vulnerabilidades para quienes defienden sistemas pueden, con menor fricción, hacer lo mismo para quienes los atacan. La ventana entre el descubrimiento de una falla y la disponibilidad de exploits tiende a comprimirse cuando modelos de frontera entran en el proceso. Para MSSPs e integradores brasileños que aún operan ciclos de parcheo trimestrales, el ritmo implícito en el Glasswing es una señal de que este intervalo necesita ser revisado.
Anthropic posiciona el Mythos como preview, lo que sugiere una versión comercial en un horizonte de 12 a 18 meses. Cuando eso ocurra, la capacidad de análisis de código a través de IA de frontera debe entrar en los criterios de evaluación de plataformas de AppSec. Para CTOs que conducen RFPs en este segundo semestre, el proyecto Glasswing anticipa lo que se convierte en un requisito relevante.