Anthropic reveló el viernes que el Proyecto Glasswing ha ayudado a descubrir más de 10,000 vulnerabilidades de gravedad alta o crítica en algunos de los software más «sistémicamente» importantes en todo el mundo desde que se puso en marcha la iniciativa de ciberseguridad el mes pasado.
El Proyecto Glasswing es un esfuerzo liderado por la empresa de inteligencia artificial (IA), como parte del cual un pequeño grupo de unos 50 socios obtuvo acceso a Claude Mythos Preview, un modelo de frontera con capacidades para encontrar vulnerabilidades en software ampliamente utilizado.
De estas vulnerabilidades, 6202 han sido clasificadas como fallas de gravedad alta o crítica que afectan a más de 1000 proyectos de código abierto. Un análisis posterior de estos candidatos a vulnerabilidad ha identificado que 1.726 son verdaderos positivos válidos. Se evalúa que hasta 1.094 fallas son de gravedad alta o crítica.
Una de las debilidades identificadas es una falla crítica en WolfSSL (CVE-2026-5194, puntuación CVSS: 9.1) que podría permitir a un atacante falsificar certificados y hacerse pasar por un servicio legítimo. En total, estos esfuerzos han llevado a que se parcheen 97 hallazgos y se emitan 88 avisos.
«La relativa facilidad de encontrar vulnerabilidades en comparación con la dificultad de solucionarlas representa un desafío importante para la ciberseguridad», reconoció Anthropic. «Afrontar este desafío con éxito hará que nuestro software sea mucho más seguro que antes».
El desarrollo se produce cuando los proveedores de software están enviando más correcciones que nunca, impulsado por un aumento en el descubrimiento de vulnerabilidades asistido por IA, y Microsoft señaló que la cantidad de nuevos parches que espera lanzar mensualmente «continuará siendo mayor durante algún tiempo».
La plataforma de seguridad ofensiva autónoma XBOW ha descrito Mythos Preview como «un avance importante» que es «sustancialmente mejor que los modelos anteriores para encontrar candidatos a vulnerabilidades» y «experto en analizar el código fuente con una mentalidad de seguridad». Análisis recientes también han encontrado que el modelo se destaca a la hora de convertir vulnerabilidades en cadenas de ataques de un extremo a otro.
La utilidad de Mythos Preview, añadió Anthropic, va más allá de encontrar fallos de seguridad. En un caso, se dice que un banco asociado de Glasswing aprovechó el modelo de inteligencia artificial para detectar y prevenir una transferencia bancaria fraudulenta de 1,5 millones de dólares después de que un actor de amenazas desconocido violara la cuenta de correo electrónico de un cliente e hiciera llamadas telefónicas falsas.
Dado que modelos con capacidades similares a Mythos podrían estar ampliamente disponibles en un futuro cercano, Anthropic insta a los desarrolladores de software a acortar sus ciclos de parches y hacer que las correcciones de seguridad estén disponibles lo más rápido posible. Vale la pena mencionar aquí que Oracle recientemente cambió a un ciclo de parches mensual para abordar problemas críticos de seguridad.
«Los defensores de la red deberían acortar los plazos de implementación y prueba de parches», dijo Anthropic. «Estos incluyen pasos como reforzar las configuraciones predeterminadas de las redes, hacer cumplir la autenticación multifactor y mantener registros completos para la detección y respuesta».
La compañía de inteligencia artificial también dijo que lanzó un programa de verificación cibernética que permite a los profesionales de la seguridad usar sus modelos sin barreras de seguridad para fines legítimos, como investigación de vulnerabilidades, pruebas de penetración y formación de equipos rojos. Esto es similar a Daybreak de OpenAI, que también permite a los defensores aprovechar GPT-5.5-Cyber para flujos de trabajo especializados.
Modelos como Mythos Preview y GPT-5.5-Cyber aún no se han lanzado al público debido a la preocupación de que actualmente no existen salvaguardias adecuadas para evitar su uso indebido a gran escala.
«Glasswing ayuda a los ciberdefensores sistémicamente más importantes a obtener una ventaja asimétrica», señaló. «Sin embargo, existe una necesidad urgente de que tantas organizaciones como sea posible refuercen sus defensas cibernéticas. Esperamos que nuestros modelos generalmente disponibles y las nuevas herramientas, recursos e investigaciones que estamos brindando para acompañarlos apoyen a esas organizaciones a mejorar su postura de ciberseguridad».