Anthropic mantiene en privado su nuevo modelo de IA tras encontrar miles de

En una decisión que marca un cambio radical en la forma en que se implementan las capacidades de IA de vanguardia, Anthropic optó por no lanzar públicamente su modelo de inteligencia artificial más avanzado tras detectar miles de vulnerabilidades de ciberseguridad hasta entonces desconocidas en los principales sistemas operativos y navegadores web. En lugar de comercializarlo, la compañía distribuyó discretamente el acceso a las organizaciones responsables de la seguridad de la infraestructura digital mundial.

Lo que sucedió: Avance del Proyecto Glasswing y Claude Mythos

El modelo en cuestión se llama Claude Mythos Preview y representa el sistema más avanzado de Anthropic hasta la fecha. Durante las pruebas internas, Mythos demostró una extraordinaria capacidad para identificar fallos de seguridad, descubriendo miles de vulnerabilidades en todos los principales sistemas operativos y navegadores actualmente en uso.

En lugar de aprovechar la oportunidad para lanzar un producto, Anthropic creó la iniciativa Project Glasswing. Este programa canaliza las capacidades de Mythos directamente a las empresas y fundaciones que desarrollan y mantienen software crítico. Entre los socios de lanzamiento figuran algunas de las empresas tecnológicas más importantes del mundo: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia y Palo Alto Networks.

Más allá de ese grupo inicial, el acceso se ha extendido a más de 40 organizaciones adicionales que desarrollan o mantienen infraestructura de software esencial. Para respaldar financieramente esta iniciativa, Anthropic se compromete a aportar hasta 100 millones de dólares en créditos de uso para que estos socios puedan ejecutar Mythos con sus propios códigos fuente.

Por qué esto importa: Un nuevo paradigma para el despliegue responsable de la IA

Esta decisión tiene una enorme trascendencia por varias razones. En primer lugar, representa uno de los ejemplos más claros hasta la fecha de un laboratorio de IA que limita deliberadamente el potencial comercial de un modelo revolucionario debido a implicaciones de seguridad. En una industria a menudo criticada por su afán de lanzar productos al mercado, Anthropic optó por la prudencia, y eso es digno de mención.

En segundo lugar, la magnitud de los descubrimientos es asombrosa. Encontrar miles de vulnerabilidades en múltiples plataformas sugiere que Mythos opera a un nivel de análisis de código que supera con creces lo que los investigadores de seguridad humanos o las herramientas automatizadas existentes pueden lograr en plazos similares. Para ponerlo en perspectiva, la base de datos CVE —el estándar global para el seguimiento de vulnerabilidades de ciberseguridad divulgadas públicamente— suele catalogar entre 25 000 y 30 000 nuevas entradas al año. Un solo modelo de IA que aportara miles de hallazgos en un período concentrado representaría una fracción significativa de la divulgación global anual.

En tercer lugar, este enfoque podría redefinir la economía de la investigación de vulnerabilidades. Si ha seguido nuestra cobertura sobre la seguridad de los agentes de IA en tiempo de ejecución del kit de herramientas de código abierto de Microsoft , sabrá que los programas de recompensas por detección de errores y las pruebas de penetración siguen siendo costosos y requieren mucha mano de obra. Un modelo de IA capaz de realizar este trabajo a gran escala podría ahorrar a las organizaciones miles de millones en costes relacionados con las brechas de seguridad.

Antecedentes: La reputación de Anthropic como empresa centrada en la seguridad.

Anthropic fue fundada en 2021 por antiguos investigadores de OpenAI, entre ellos los hermanos Dario y Daniela Amodei. La compañía se ha posicionado consistentemente como la alternativa centrada en la seguridad en la carrera por la IA de vanguardia, publicando políticas detalladas de escalado responsable e invirtiendo fuertemente en investigación sobre alineación. Su familia de modelos Claude compite directamente con la serie GPT de OpenAI y Gemini de Google.

La decisión de restringir el acceso público a Mythos es coherente con esa filosofía. Publicar un modelo capaz de identificar vulnerabilidades de día cero a gran escala sería un arma de doble filo: invaluable para los defensores, pero potencialmente catastrófico si actores maliciosos accedieran a él y pudieran explotar esas mismas fallas antes de que se implementen los parches.

Esta tensión constituye el núcleo de lo que los investigadores de seguridad denominan el problema de la «asimetría ofensiva-defensiva». Los atacantes solo necesitan encontrar una vulnerabilidad explotable. Los defensores deben encontrarlas todas y corregirlas. Una IA que incline la balanza a favor de los defensores —pero solo si sus capacidades se controlan cuidadosamente— es precisamente el tipo de herramienta que exige un modelo de distribución restringido.

Las implicaciones estratégicas para Anthropic y la industria

Desde una perspectiva empresarial, el Proyecto Glasswing es una jugada maestra, incluso si sacrifica ingresos a corto plazo. Consideremos los beneficios estratégicos:

• Integración profunda con infraestructuras críticas: al incorporar Mythos en los flujos de trabajo de AWS, Microsoft, Google y otros, Anthropic crea una dependencia y una confianza que ninguna campaña de marketing podría comprar.
• Buena voluntad con los reguladores: A medida que los gobiernos de todo el mundo elaboran leyes sobre IA, demostrar una moderación responsable genera credibilidad, algo que será importante a la hora de tomar decisiones políticas.
• Ciclos de retroalimentación de datos: Cada vulnerabilidad que las organizaciones asociadas confirman y corrigen genera una valiosa señal de entrenamiento que hará que los futuros modelos de Anthropic sean aún más capaces.
• Diferenciación competitiva: Ni OpenAI ni Google DeepMind han anunciado nada comparable en alcance, lo que otorga a Anthropic una posición única en el mercado de la seguridad empresarial.

La inclusión de JPMorgan Chase es particularmente reveladora. Las instituciones financieras se enfrentan a ciberataques constantes y operan bajo algunos de los marcos regulatorios más estrictos del mundo. Su participación indica que Mythos ya ha demostrado su valor más allá del sector tecnológico. Si te interesa saber cómo la IA está transformando los servicios financieros, consulta nuestro artículo sobre la presentación de PaperOrchestra por parte de Google AI para la investigación automatizada .

¿Qué sigue?

Quedan varias preguntas sin respuesta. ¿Lanzará Anthropic Mythos al público, quizás después de que se hayan corregido las vulnerabilidades más críticas? ¿Cómo verificará la empresa que las organizaciones asociadas están actuando con prontitud en función de los hallazgos? ¿Y qué sucederá cuando los adversarios desarrollen inevitablemente sus propios modelos de IA para la búsqueda de vulnerabilidades sin salvaguardias éticas similares?

El sector en general estará atento para ver si este enfoque colaborativo, casi filantrópico, se convierte en un modelo a seguir. Si una inversión de 100 millones de dólares en ciberseguridad defensiva produce resultados tangibles —menos brechas de seguridad, actualizaciones más rápidas, una internet más segura— otros laboratorios de IA se verán presionados a seguir su ejemplo.

También cabe preguntarse si los gobiernos intentarán imponer este tipo de marco de divulgación responsable. La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de Estados Unidos ya ha manifestado interés en la detección de vulnerabilidades asistida por IA como parte de su misión más amplia.

En resumen

La decisión de Anthropic de mantener la vista previa de Claude Mythos fuera del ojo público es una de las medidas más trascendentales en la industria de la IA este año. Al priorizar la seguridad sobre el espectáculo, la compañía apuesta por que los modelos de IA más potentes no siempre deben ser productos; a veces, deben ser herramientas utilizadas discretamente por quienes mejor pueden proteger a los demás. El éxito de esta apuesta dependerá de la ejecución, la transparencia y la disposición del resto de la industria a seguir un camino que priorice la defensa colectiva sobre el beneficio individual.