Despierta. Abre la laptop. Ahí tienes un exploit completo para evadir el sandbox del navegador, mirándote de frente — armado de la noche a la mañana por esa IA a la que le diste un simple prompt antes de acostarte.
No es ciencia ficción. Es Claude Mythos Preview de Anthropic, un modelo de propósito general que es letal encontrando vulnerabilidades de seguridad. Lo anunciaron hoy, pero con un giro: nada de lanzamiento público. En cambio, Project Glasswing lo envía directo a investigadores de seguridad y grandes vendors de software. Para que tapen los agujeros antes de que los malos los exploten.
Y vaya si pega fuerte. Detecta zero-days en todos los sistemas operativos grandes, todos los navegadores principales. Encadena cuatro bugs para escapes de renderer. Arma escaladas de privilegios locales con condiciones de carrera y trucos para esquivar KASLR. Hasta le da al NFS de FreeBSD para root sin autenticación — una locura.
Lo mejor: desenterró un bug de OpenBSD de 27 años. ¡OpenBSD! El fortín de los sistemas operativos.
Ingenieros de Anthropic sin entrenamiento formal en seguridad le piden a Mythos Preview que busque vulnerabilidades de ejecución remota de código durante la noche, y al día siguiente despiertan con un exploit completo y funcional.
¡Pum! ¿Barrera para ataques de élite? Hecha añicos. De “equipo experto indispensable” a “clave de API y un café”.
¿Por qué Anthropic guarda Mythos Preview solo para investigadores?
Piensa en el Proyecto Manhattan, pero para romper código. Anthropic sabe que este genio sale de la lámpara en cuanto se propague — mejor armar a los aliados primero. Más del 99% de sus hallazgos: zero-days sin parchear. Lo divulgan con responsabilidad, mientras los vendors corren a arreglar.
Pero aquí va mi visión única, la que nadie dice: esto es como el debut del microscopio en los 1600. De repente, médicos comunes veían gérmenes por todos lados — el conocimiento explotó, la medicina dio un salto, pero también los charlatanes cocinaron plagas. ¿Mythos Preview? Ese microscopio para fallos de software. Democratiza la defensa, claro, pero inunda el mundo con munición para ataques. Predicción audaz: en 18 meses, labs renegados lo clonan y los ataques forjados por IA se disparan 10 veces.
¿La línea oficial de Anthropic? Estas capacidades se propagan de todos modos. Mejor dar ventaja defensiva. Inteligente. ¿Otros labs? Podrían soltarlo todo por fama.
¿De verdad Mythos Preview supera a los expertos humanos de la noche a la mañana?
Respuesta corta: sí. El blog del Red Team lo cuenta todo — vulns locales, sondas a binarios en caja negra, endurecimiento de endpoints, pentesting de sistemas base. Los socios ya lo usan; el resto espera, sudando.
Sin entrenamiento. Dale un prompt como: “Encuentra RCE en este navegador”. Duerme. Gana. Así cambia el ritmo. La investigación de seguridad, antes un arte manual — meses de desensamblaje pesado, fuzzing, intuición — ahora es industrial. Fábricas nocturnas.
Vendors, despierten. ¿Tu codebase? Asume que ya la tamizaron. Cada línea, un eslabón potencial en la cadena de algún exploit de IA.
Investigadores: ahora mandan. Con IA o nada.
Eso sí — el PR de Anthropic lo pinta como jugada de buenos. Yo, escéptico, digo: también atesoran joyas de la corona. Glasswing es un foso, ganando tiempo mientras escalan el imperio Claude. El hype lo llama punto de inflexión; la realidad, ignición de la carrera armamentística.
¿Qué pasa cuando todos tengan IA al nivel de Mythos?
¿Ventaja defensiva? Puf. Décadas de zero-days solo para humanos — desaparecidas. Modelos así convierten codebases en campos minados, mapeados automáticamente.
Glasswing prioriza: detección local primero, luego binarios, endpoints, bases. Subida lógica. Pero la proliferación acecha. ¿Código abierto? Caos. ¿Guardarlo? Se queda atrás.
Lo fascinante: IA como cambio de plataforma, ¿recuerdas? Como TCP/IP pariendo la web — de repente, cazar vulnerabilidades deja de ser grem
