Anthropic creó una IA tan peligrosa que no puede lanzarla al público: así nació el Project Glasswing

Imagina una inteligencia artificial tan poderosa que logra descubrir vulnerabilidades de seguridad que llevan décadas ocultas en los sistemas más críticos del planeta, en cuestión de horas y sin intervención humana. Eso es exactamente lo que hizo Claude Mythos, el nuevo modelo de Anthropic que está sacudiendo a toda la industria tecnológica, y que la propia compañía admite que no puede lanzar al público por los riesgos que representa. 

La historia comenzó casi por accidente. A finales de marzo de 2026, Anthropic filtró sin querer información sobre la existencia de este modelo a través de una fuga de datos interna. Lo que salió a la luz dejó a más de uno con la boca abierta: Mythos no es una actualización incremental de Claude. 

Es, según la propia empresa, “un cambio de nivel” en rendimiento, una categoría completamente nueva por encima de sus modelos Opus, con capacidades que superan ampliamente todo lo que existe en el mercado en áreas como razonamiento académico, programación avanzada y, lo que más preocupa, ciberseguridad. 

Claude Mythos: la IA que encontró miles de vulnerabilidades Zero Day sola

Aquí es donde la cosa se pone seria. El equipo de seguridad de Anthropic publicó una evaluación técnica detallada de las capacidades de Mythos Preview tras aproximadamente un mes de pruebas internas, y los resultados son, francamente, escalofriantes. 

Mythos encontró miles de vulnerabilidades Zero Day —es decir, fallas de seguridad que nadie había descubierto antes— en infraestructuras de software críticas del mundo entero. Y no hablamos de bugs menores: el modelo identificó una vulnerabilidad de denegación de servicio en OpenBSD que llevaba 27 años sin detectarse, una falla en el codec H.264 de FFmpeg introducida en 2003 y expuesta en 2010 que había pasado desapercibida para cada fuzzer y cada investigador humano que había revisado ese código, y un fallo de ejecución remota de código en FreeBSD de 17 años de antigüedad que permitía acceso root sin autenticación. Todo eso lo hizo de forma autónoma, sin que nadie le indicara paso a paso cómo hacerlo. 

Para dimensionar la diferencia con modelos anteriores, los investigadores hicieron una prueba directa: pusieron a competir a Mythos Preview y a su predecesor, Opus 4.6, contra las mismas vulnerabilidades del motor JavaScript de Firefox 147. Opus 4.6 logró generar exploits funcionales apenas dos veces en cientos de intentos. Mythos Preview lo hizo 181 veces. No es una mejora gradual. Es un salto de otra dimensión. 

Lo más inquietante de todo esto es que Anthropic admite que no entrenó a Mythos específicamente para tener estas capacidades. Surgieron de forma emergente como consecuencia de las mejoras generales en razonamiento, código y autonomía. En otras palabras: las mismas habilidades que lo hacen extraordinariamente bueno para parchear vulnerabilidades, lo hacen igualmente bueno para explotarlas. 

Por qué Anthropic no puede lanzar Mythos al público aún

El problema es obvio: si una IA puede encontrar y explotar vulnerabilidades Zero Day en todos los principales sistemas operativos y navegadores de forma autónoma, en manos equivocadas sería un arma de destrucción masiva digital. Anthropic lo sabe y lo dice sin rodeos. 

La compañía señaló en sus comunicaciones internas filtradas que Mythos está “actualmente muy por delante de cualquier otro modelo de IA en capacidades cibernéticas”, y que “presagia una próxima ola de modelos que pueden explotar vulnerabilidades de formas que superan ampliamente los esfuerzos de los defensores”. Dicho de otro modo: lo que Mythos puede hacer hoy, otros modelos menos responsables podrían hacerlo mañana. 

Y el riesgo no es teórico. Anthropic ha documentado previamente que actores maliciosos ya intentaron usar sus modelos existentes para ataques coordinados contra docenas de organizaciones simultáneamente, incluyendo instituciones financieras y agencias gubernamentales. Ahora imagina eso con Mythos. 

Por eso, la decisión fue clara: Mythos no sale al público general. Al menos, no todavía. Pero tampoco podían simplemente guardarlo en un cajón sabiendo que el ecosistema de software global está lleno de las vulnerabilidades que el modelo ya sabe detectar. Tenían que hacer algo con ese conocimiento, y hacerlo rápido.

Project Glasswing: la respuesta de la industria tecnológica al reto de Mythos

Fue así como nació Project Glasswing, y la escala de la iniciativa dice mucho sobre la seriedad del problema. 

Anthropic se puso en contacto con los gigantes de la industria y el 7 de abril de 2026 lanzó oficialmente esta colaboración que reúne, entre otros, a Amazon Web Services, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, Broadcom, JPMorganChase, la Linux Foundation y Palo Alto Networks. Además, más de 40 organizaciones adicionales involucradas en el mantenimiento de software crítico también recibieron acceso. 

La idea es simple pero poderosa: darles a los defensores una ventaja de cabeza antes de que modelos con capacidades similares estén disponibles para cualquiera. Los socios del proyecto pueden usar Claude Mythos Preview para escanear su infraestructura, detectar debilidades y mejorar sus prácticas de seguridad. Anthropic, por su parte, se comprometió a invertir hasta 100 millones de dólares en créditos de uso para los participantes, más 4 millones de dólares en donaciones directas a organizaciones de seguridad de código abierto. 

Las declaraciones de los socios son reveladoras. Desde Microsoft confirmaron que cuando probaron Mythos contra su benchmark de seguridad de código abierto CTI-REALM, el modelo mostró “mejoras sustanciales” respecto a generaciones anteriores. Desde CrowdStrike fueron aún más directos: “La ventana entre que se descubre una vulnerabilidad y que un adversario la explota se ha colapsado: lo que antes tomaba meses ahora ocurre en minutos con IA”. Y desde la Linux Foundation advirtieron que esto no es solo una oportunidad; es también una señal de que los atacantes pronto tendrán acceso a capacidades similares. 

El lanzamiento de Project Glasswing marca un momento histórico para la ciberseguridad: por primera vez, una IA de nivel frontier se despliega no como producto comercial, sino como escudo colectivo de la infraestructura digital global. La pregunta que todos nos hacemos ahora es cuánto tiempo pasará antes de que las capacidades de Mythos estén al alcance de quienes no tienen intenciones tan nobles.

Sigue leyendo:
• Anthropic, la empresa de IA que se enfrentó al Pentágono en EE.UU. y por qué esto nos concierne a todos
• Anthropic filtró por error el código fuente de Claude Code y el daño podría ser enorme
• Las Skills de Claude: la función que cambia completamente cómo usas la IA