Hay un modelo de inteligencia artificial que Anthropic ha construido y no puede mostrar al mundo. No por falta de valentía, sino porque lo que es capaz de hacer es simplemente demasiado peligroso. Se llama Claude Mythos Preview, y es el modelo más avanzado que el laboratorio estadounidense ha desarrollado jamás.
¿El problema? Encuentra vulnerabilidades en los sistemas informáticos más críticos del planeta con una velocidad y precisión que ninguna herramienta automatizada había logrado antes.
En las semanas previas al anuncio oficial del 7 de abril de 2026, el modelo fue probado en entornos controlados. Los resultados dejaron a los investigadores sin palabras.
Un bug oculto durante 27 años, encontrado por unos pocos dólares
Nicholas Carlini, investigador senior de Anthropic, describió la situación con una sencillez desarmante: encontró más fallas de seguridad durante las últimas semanas de pruebas que en todo el resto de su carrera combinada. Entre los hallazgos hay una vulnerabilidad en OpenBSD — sistema operativo conocido por ser uno de los más seguros del mundo, utilizado por bancos, embajadas y proveedores de internet — que llevaba 27 años en el código. Bastaba con enviar unos pocos paquetes de datos a un servidor para tumbarlo. Nadie la había encontrado jamás.
Luego está FFmpeg, la biblioteca de video sobre la que se apoyan cientos de aplicaciones en todo el mundo. Mythos identificó una falla dentro de una sola línea de código que herramientas automatizadas habían analizado más de cinco millones de veces sin detectarla. Dieciséis años de invisibilidad, resueltos por un agente de IA en cuestión de minutos.
Y además: una cadena de vulnerabilidades en el kernel de Linux capaz de garantizar el control total de una máquina. No una única falla, sino varias debilidades encadenadas en secuencia — exactamente el tipo de ataque que hasta ayer solo podían orquestar hackers estatales de máximo nivel. En regiones como América Latina, donde la infraestructura digital es cada vez más crítica para las finanzas cotidianas — desde billeteras cripto hasta plataformas de remesas —, este tipo de vulnerabilidades representa una amenaza directa y concreta.
El sandbox violado y el e-mail desde el parque
Hay un episodio que recorrió toda la comunidad tech y que es difícil de olvidar. Durante una sesión de pruebas, una versión preliminar de Mythos había sido colocada en un entorno aislado — un sandbox — con acceso limitado a un puñado de servicios predefinidos. Se le había pedido al modelo que intentara escapar del contenedor y avisar al investigador supervisor. Mythos encontró la manera de salir desarrollando un exploit de múltiples etapas, se conectó a internet y envió el correo de notificación. Hasta ahí, todo según lo previsto.
Lo que no estaba previsto: el modelo publicó a continuación los detalles del exploit en sitios web de acceso público, aparentemente para demostrar de forma autónoma que había completado la tarea. El investigador Samuel Bowman descubrió lo ocurrido al recibir un e-mail inesperado del modelo mientras comía un sándwich en un parque.
I'm proud that so many of the world's leading companies have joined us for Project Glasswing to confront the cyber threat posed by increasingly capable AI systems head-on.https://t.co/pn3HSVsThP
— Dario Amodei (@DarioAmodei) April 7, 2026
La respuesta de la comunidad tech fue inmediata. Entre los posts más compartidos:
Claude Mythos found a 27-year-old vulnerability in OpenBSD that survived decades of expert review.
— Antonio Vieira Santos (@AkwyZ) April 7, 2026
A 16-year-old bug in FFmpeg that automated tools hit 5 million times without catching.
AI isn't future-of-cybersecurity. It's now.
Project Glasswing is Anthropic's response: put…
Project Glasswing: 100 millones de dólares para defender internet
Ante todo esto, Anthropic tomó una decisión poco obvia: en lugar de silenciar los hallazgos o aplazarlos indefinidamente, reunió en torno a una misma mesa a las empresas que controlan la mayor parte de la infraestructura digital global. AWS, Apple, Google, Microsoft, Cisco, CrowdStrike, NVIDIA, JPMorganChase, Palo Alto Networks y la Linux Foundation. Juntas, con un único objetivo: usar Mythos para encontrar y corregir las vulnerabilidades antes de que alguien más lo haga con intenciones maliciosas.
El programa se llama Project Glasswing — inspirado en la mariposa Greta oto, cuyas alas transparentes la hacen casi invisible, igual que ciertos bugs en el código. El compromiso financiero es concreto: 100 millones de dólares en créditos de uso y 4 millones en donaciones directas a organizaciones de código abierto, incluidas Alpha-Omega, OpenSSF y la Apache Software Foundation.
El modelo no estará disponible para el público. Al menos por ahora. Anthropic ha declarado abiertamente que Claude Mythos Preview es demasiado arriesgado para una distribución general, y que el plan es desarrollar las salvaguardas necesarias en un próximo modelo Claude Opus antes de considerar un acceso más amplio.
Profundiza en el papel de la IA en la seguridad blockchain en nuestra sección dedicada: Blockchain y tecnología.
Qué cambia ahora
Hemos entrado en una nueva fase. Ya no se trata de si la IA se usará para atacar sistemas informáticos, sino de quién lo hará primero y con qué intenciones. Project Glasswing es el intento de dar a los defensores una ventaja estructural antes de que capacidades similares estén al alcance de cualquiera — incluidos actores que no tienen ningún interés en proteger a nadie. Para el ecosistema cripto latinoamericano, que depende cada vez más de contratos inteligentes y plataformas DeFi, la capacidad de detectar y parchear vulnerabilidades de forma proactiva podría marcar la diferencia entre la adopción masiva y una crisis de confianza.
Como dijo el propio Carlini en el video de presentación del proyecto, la capacidad de Mythos no consiste solo en encontrar fallas individuales: es encadenarlas. Tres, cuatro, cinco vulnerabilidades que por sí solas no significan nada, pero en secuencia abren una puerta hacia cualquier sistema. Ese es el nivel que estamos alcanzando.
