Un PDF publicado en Hacker News anoche ha encendido las discusiones, y con 466 puntos y más de 300 comentarios, es algo que la gente realmente está leyendo hasta tarde. La tarjeta del sistema de Claude Mythos Preview se ha filtrado —o, mejor dicho, se ha publicado discretamente— y es una lectura bastante sorprendente.

En resumen: Anthropic ha construido un modelo que ellos mismos describen como capaz de "superar a todos, excepto a los humanos más hábiles" en la búsqueda y explotación de vulnerabilidades de software. Y precisamente porque es tan bueno, no planean dar acceso a la mayoría de la gente. Nunca.

En su lugar, han lanzado algo que llaman Project Glasswing — un gran programa de seguridad donde Mythos Preview se utiliza de forma defensiva, es decir, para encontrar vulnerabilidades antes de que lo hagan los actores maliciosos. La lista de socios es absurda: AWS, Apple, Google, Microsoft, Cisco, NVIDIA, JPMorganChase, y un montón de otros. Más de 40 organizaciones en total.

Los resultados son lo que realmente deja a la gente sin aliento. El modelo ha encontrado un error de 27 años en OpenBSD y una vulnerabilidad de seguridad de 16 años en FFmpeg — fallos que habían sobrevivido a millones de pruebas automatizadas. También es capaz de encadenar múltiples vulnerabilidades del kernel de Linux para escalar a un control total de la máquina por sí mismo.

Un investigador de Anthropic afirma haber encontrado más errores en las últimas semanas que en el resto de su carrera combinada.

Las cifras de referencia subrayan el salto: Mythos Preview obtiene un 93,9 % en SWE-bench Verified, frente al 80,8 % de Claude Opus 4.6. En las pruebas específicas de ciberseguridad, la brecha es aún mayor.

Las propias palabras de Anthropic son bastante serias aquí. Escriben que si capacidades similares se extienden a actores sin un enfoque responsable, las consecuencias para la economía, la seguridad pública y la seguridad nacional podrían ser «graves». Esta es la razón por la que están ejecutando Glasswing ahora — ellos mismos lo llaman un «intento urgente de poner las capacidades en defensa».

Los hilos de HN merecen ser seguidos. Uno discute las capacidades de ciberseguridad en sí, otro aborda Project Glasswing de manera más amplia. El ambiente es mixto — impresionados, pero también con cierta incomodidad por el hecho de que ahora tenemos IAs que son demasiado peligrosas para compartir, pero lo suficientemente potentes como para ser utilizadas para remodelar todo el panorama de la seguridad.

Advertencia importante: Estas son todavía señales tempranas basadas en discusiones de la comunidad y una tarjeta de sistema publicada. Sabemos poco sobre lo que realmente se ha parcheado, y los socios de la coalición aún no han comentado ampliamente. Pero esto es definitivamente algo que los medios de tecnología convencionales recogerán en los próximos días.