Anthropic abre Mythos a Samsung, Okta, OTAN y ENISA y lleva Project Glasswing a 150 organizaciones en 15 países

Anthropic anunció el 2 de junio la expansión del Project Glasswing a más de 150 organizaciones en 15 países, abriendo el acceso a Claude Mythos, un modelo de frontera aún no lanzado de la compañía, y dirigiendo US$ 100 millones en créditos de uso para socios más US$ 4 millones en donaciones directas para organizaciones de seguridad open source. La lista nominal incluye a Okta en Estados Unidos, Samsung, SK Hynix y SK Telecom en Corea del Sur, la OTAN en Bruselas y ENISA, la agencia europea de ciberseguridad.

El Glasswing comenzó en abril con alrededor de 50 socios, incluyendo agencias del gobierno estadounidense. En dos meses, Anthropic afirma que estos socios encontraron más de 10 mil vulnerabilidades clasificadas como de alta o crítica severidad, número que la empresa utiliza para sustentar la tesis de que Mythos opera en un nivel que supera a la mayoría de los investigadores humanos en la detección y exploración de fallas en el código. Según Anthropic, el modelo ya ha identificado errores en todos los principales sistemas operativos y navegadores web.

Por qué la OTAN, Samsung y Okta entraron en la misma ronda

La composición de la segunda ronda no es aleatoria. Sectores que quedaron fuera de la fase inicial entraron ahora: energía eléctrica, saneamiento, salud, telecomunicaciones y fabricación de hardware. Samsung, SK Hynix y SK Telecom cubren la cadena coreana de chips y telecomunicaciones, vertical donde Anthropic necesita demostrar capacidad ofensiva en firmware y baseband. La OTAN cubre el pilar militar aliado, y ENISA otorga legitimidad institucional para implementaciones en Estados miembros europeos, en un momento en que la Ley de IA europea acaba de entrar en vigor para aplicaciones de riesgo en infraestructura crítica.

Okta es el vector de gestión de identidad y acceso para miles de empresas Fortune 500, y la inclusión en el programa significa que Anthropic ahora ejecuta Mythos contra el stack que protege el acceso corporativo de buena parte del mercado estadounidense. Hay un efecto de cola implícito: los clientes de Okta que dependen del mismo plano de control obtienen, en la práctica, una capa extra de escaneo sin pagar por ella.

La geografía del programa: 15 países, tres bloques

La expansión geográfica incluye Canadá, Australia, Nueva Zelanda, Francia, Alemania, Italia, Suiza, Países Bajos, España, Bélgica, Suecia, India y Japón. La lista replica, sin coincidencia, el perímetro de los Five Eyes ampliado por los socios de la OTAN y por dos pesos pesados asiáticos. China y Rusia quedan fuera, en una decisión consistente con el diseño de controles de exportación que el Departamento de Comercio estadounidense ha venido endureciendo desde 2024.

Para los CISOs de empresas con operaciones en múltiples geografías, el anuncio reabre un debate que el sector evitaba enmarcar: el mismo modelo de IA que encuentra vulnerabilidades para el defensor las encuentra, en principio, para el atacante. Anthropic argumenta que Mythos opera bajo acceso controlado, pero la literatura técnica de modelos de frontera muestra que ataques de inyección de prompt y jailbreak funcionan con una frecuencia no despreciable incluso en modelos de gama alta. El riesgo de difusión si la barrera de acceso a la API se rompe comienza a ser discutido abiertamente entre investigadores de seguridad de frontera de la IA.

El timing habla más que el lanzamiento

El anuncio coincide con la orden ejecutiva estadounidense de IA firmada el mismo día, que crea un AI Cybersecurity Clearinghouse coordinado por la Casa Blanca para centralizar inteligencia sobre vulnerabilidades en modelos de IA. Anthropic, que protocolizó un registro confidencial de IPO ante la SEC el 1 de junio con una valoración de US$ 965 mil millones, posiciona Glasswing como demostración de valor estratégico nacional en el ciclo en que el gobierno estadounidense formaliza la interlocución con laboratorios de frontera.

Para el mercado de ciberseguridad, el impacto es acumulativo. CrowdStrike, Palo Alto Networks, SentinelOne y el segmento de bug bounty montado en torno a HackerOne y Bugcrowd ahora coexisten con un modelo de IA que descubre fallas en escala industrial dentro de un programa cerrado, sin entrada en la economía de recompensas. La cuestión para los CIOs deja de ser si la IA de frontera altera la economía del descubrimiento de vulnerabilidades y pasa a ser cuánto tiempo lleva el escaneo interno para volverse comparable a la oferta cautiva.

Para Corea del Sur, India y Japón, mercados que entraron en la expansión, el efecto inmediato es selectivo. Las tres geografías tienen participación asimétrica en el programa: Corea del Sur recibe tres proveedores de la cadena de chips a la vez, India entró con un socio inicial y Japón recibe el acceso como puerta de entrada para defensa de fabricantes de la cadena automotriz. Anthropic da una señal sobre quién ella considera prioritario en soberanía cibernética, y la señal no tiene distribución uniforme.