El modelo de nivel mythos de Anthropic, Claude Mythos, no está abierto al público.

Anthropic hoy anunció un plan: Project Glasswing (plan de Glasswing). Lo lanzan porque Anthropic entrenó un modelo nuevo y extremadamente potente, Claude Mythos Preview; en realidad, este es el mismo modelo mencionado en la filtración de código de cc de los últimos días.

Los participantes del proyecto incluyen a Amazon AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks y la propia Anthropic; en total, 12 instituciones lanzan la iniciativa de forma conjunta.

En lenguaje sencillo, es porque este modelo es demasiado potente y requiere un modo de pruebas de seguridad: solo se usa internamente por las instituciones aprobadas, sin abrirlo al público. ¿Qué tan potente es? Miren los datos directamente: el rendimiento de código y de razonamiento supera a opus 4.6:

Código:

Razonamiento:

Búsqueda y uso de computadoras

La palabra opus significa “obra maestra” literalmente; Mythos significa “mito” literalmente. El CEO de Anthropic y una serie de grandes figuras de los socios salieron a respaldar este plan.

Anthropic dejó claro que no planea abrir Claude Mythos Preview al público. Pero el objetivo a largo plazo es que los usuarios puedan usar de forma segura modelos con capacidades equivalentes. Para ello, planean desarrollar y validar primero los mecanismos de protección de seguridad correspondientes en el próximo modelo Claude Opus, completar iteraciones en condiciones de riesgo controlable y luego avanzar gradualmente; posiblemente pronto se lance una nueva versión de opus para proporcionar la capacidad correspondiente.

Veamos en detalle qué es realmente Project Glasswing

¿Qué descubrió este modelo?

En las últimas semanas, Anthropic usó Claude Mythos Preview para escanear sistemas operativos principales del mundo, navegadores y otros softwares importantes.

Resultado: encontró miles de vulnerabilidades de día cero que nunca se habían detectado antes, y muchas de ellas fueron evaluadas como de nivel alto.

Algunos casos concretos:

En OpenBSD, una vulnerabilidad que existe desde hace 27 años. OpenBSD es conocido por su seguridad y se usa para ejecutar infraestructura crítica como firewalls. Esta vulnerabilidad permite que un atacante, solo conectándose a la máquina objetivo, provoque que se bloquee de forma remota.

En FFmpeg, una vulnerabilidad que existe desde hace 16 años. FFmpeg se usa por incontables softwares para codificación y decodificación de video. La línea de código donde el modelo encontró la vulnerabilidad había sido escaneada 5 millones de veces por herramientas de pruebas automatizadas, pero nunca se había descubierto.

En el kernel de Linux, el modelo descubrió de forma autónoma y encadenó múltiples vulnerabilidades, permitiendo que un atacante pase de permisos de usuario normales a control total de toda la máquina.

Todas estas vulnerabilidades ya se reportaron a los mantenedores de los softwares correspondientes y ya están completamente reparadas. Para el resto de las vulnerabilidades, Anthropic publicó primero valores hash cifrados; luego publicarán los detalles específicos cuando se complete la reparación.

¿Por qué hacer esto?

El juicio de Anthropic es: la capacidad de los modelos de IA para descubrir y explotar vulnerabilidades de software ya ha superado a todos, excepto a unos pocos expertos humanos de élite.

La expansión de esta capacidad es cuestión de tiempo, no de si ocurrirá o no.

Las pérdidas económicas causadas por el crimen informático global se estiman en aproximadamente 500 mil millones de dólares al año. Los ataques a sistemas médicos, infraestructura energética e instituciones gubernamentales han causado daños reales, y también representan una amenaza continua para infraestructura civil y militar.

La IA reduce de manera significativa el costo, el umbral y el nivel de profesionalismo necesarios para llevar a cabo este tipo de ataques.

La lógica de Anthropic es: en lugar de esperar a que otros utilicen primero esta capacidad para atacar, mejor aplicarla de forma proactiva a la defensa.

¿Cómo se hará el plan de forma concreta?

Project Glasswing actualmente incluye dos niveles.

El primer nivel son 12 socios fundadores: recibirán acceso a Claude Mythos Preview para escanear y reparar vulnerabilidades en sus propios sistemas centrales. Las direcciones clave incluyen detección de vulnerabilidades locales, pruebas de caja negra binaria, seguridad de endpoints, pruebas de penetración, etc.

El segundo nivel son alrededor de otras 40 organizaciones que construyen o mantienen infraestructura clave de software: también recibirán acceso al modelo para escanear sistemas propios y de código abierto.

Para ello, Anthropic se compromete a proporcionar hasta 100 millones de dólares en créditos de uso del modelo. Al finalizar el periodo de investigación en vista previa, Claude Mythos Preview ofrecerá acceso comercial a los participantes; su precio será de 25/125 dólares por cada millón de tokens de entrada/salida, con soporte de acceso mediante Claude API, Amazon Bedrock, Google Cloud Vertex AI y Microsoft Foundry.

Además, Anthropic donará 2.5 millones de dólares a Alpha-Omega y 1.5 millones de dólares a OpenSSF a través de la Linux Foundation; en total, 4 millones de dólares, destinados a ayudar a los mantenedores de software de código abierto a afrontar esta nueva situación. Los mantenedores de software de código abierto pueden solicitar acceso mediante el proyecto Claude for Open Source.

Plan a continuación

En cuanto al intercambio de información, los socios compartirán entre sí, en la medida de lo posible, información y mejores prácticas. Anthropic se compromete a publicar en un plazo de 90 días un informe de avances de investigación, que incluya: la cantidad de vulnerabilidades descubiertas, los problemas ya reparados y los resultados de mejoras que puedan divulgarse.

En cuanto a recomendaciones de políticas, Anthropic colaborará con las principales organizaciones de seguridad para formular recomendaciones de prácticas sobre las siguientes áreas: procesos de divulgación de vulnerabilidades, procesos de actualización de software, seguridad del código abierto y de la cadena de suministro, ciclo de vida de desarrollo de software seguro, estándares de industrias reguladas, escalamiento y automatización de la clasificación de vulnerabilidades, y automatización de parches.

Para ver la información completa, consulte el texto original oficial: https://www.anthropic.com/glasswing