Project Glasswing: Anthropic une a los gigantes tech para proteger el software del mundo
Anthropic acaba de presentar Project Glasswing, y no es un lanzamiento más. Es una coalición de seguridad que reúne a AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks con un objetivo claro: encontrar y corregir vulnerabilidades en el software más crítico del mundo antes de que alguien las explote.
La herramienta central del proyecto es Claude Mythos Preview, un modelo frontier de Anthropic que todavía no está disponible públicamente, pero que ya está demostrando resultados impresionantes.
Qué encontró Mythos Preview
El modelo trabaja de forma completamente autónoma, sin intervención humana, analizando codebases en busca de fallas de seguridad. Y encontró miles de vulnerabilidades de alta severidad, incluyendo algunas en todos los sistemas operativos y navegadores principales.
Algunos hallazgos destacados:
- Vulnerabilidad de 27 años en OpenBSD que permite crashes remotos del sistema. Tres décadas de revisión humana no la detectaron.
- Vulnerabilidad de 16 años en FFmpeg que escapó a más de 5 millones de iteraciones de tests automatizados.
- Múltiples vulnerabilidades encadenadas en el kernel de Linux que permiten escalación de privilegios.
No estamos hablando de bugs triviales. Son fallas que sobrevivieron décadas de revisión manual y millones de pruebas automatizadas.
Los números: Mythos Preview vs Opus 4.6
Para dar contexto de la capacidad del modelo, estos son los benchmarks comparados contra Claude Opus 4.6 (el modelo más capaz actualmente disponible):
| Benchmark | Mythos Preview | Opus 4.6 |
|---|---|---|
| CyberGym (reproducción de vulnerabilidades) | 83.1% | 66.6% |
| SWE-bench Pro | 77.8% | 53.4% |
| Terminal-Bench 2.0 | 82.0% | 65.4% |
Las mejoras son sustanciales. En SWE-bench Pro, Mythos Preview supera a Opus 4.6 por más de 24 puntos porcentuales. Esto implica capacidades de razonamiento y coding agéntico significativamente superiores.
Cómo funciona el acceso
Glasswing no es un producto de consumo. El acceso está limitado a las organizaciones partner del lanzamiento más alrededor de 40 mantenedores de infraestructura crítica adicionales. El modelo está disponible a través de:
- Claude API
- Amazon Bedrock
- Google Cloud Vertex AI
- Microsoft Foundry
Cuando eventualmente se abra más el acceso, el pricing planificado es de $25 por millón de tokens de entrada y $125 por millón de tokens de salida.
La inversión detrás
Anthropic no solo puso el modelo sobre la mesa. El compromiso financiero incluye:
- $100 millones en créditos de uso del modelo
- $2.5 millones para Alpha-Omega y OpenSSF (a través de la Linux Foundation)
- $1.5 millones para la Apache Software Foundation
- Un programa “Claude for Open Source” al que los mantenedores de proyectos open source pueden aplicar
Es una apuesta fuerte por la seguridad del ecosistema open source, que es la base sobre la que corre prácticamente todo el software del mundo.
El elefante en la sala: dual use
Anthropic reconoce abiertamente que un modelo capaz de encontrar vulnerabilidades también es capaz de explotarlas. Por eso Glasswing viene con restricciones deliberadas:
- El modelo no está disponible públicamente
- Anthropic planea implementar nuevas salvaguardas antes de cualquier despliegue más amplio
- Las salvaguardas se van a testear primero en modelos Opus menos riesgosos antes de habilitarlas en modelos clase Mythos
Dentro de los próximos 90 días, Anthropic publicará reportes sobre los aprendizajes del proyecto. La iniciativa está diseñada para extenderse por muchos meses.
Por qué importa
Project Glasswing marca un punto de inflexión en cómo se puede aplicar AI a ciberseguridad. No es un scanner más. Es un modelo que razona sobre el comportamiento del software, identifica vectores de ataque y desarrolla exploits funcionales de forma autónoma.
Que 12 de las empresas más grandes del mundo se pongan de acuerdo en una iniciativa conjunta de seguridad dice mucho sobre la magnitud del problema y sobre el potencial de estos modelos para abordarlo. La pregunta ya no es si la AI va a transformar la ciberseguridad, sino qué tan rápido.