Anthropic lanza el modelo de IA de alta potencia codificado como Mythos, que supera ampliamente a los modelos líderes actuales, como Claude Opus 4.6, en capacidades de codificación, razonamiento y descubrimiento de vulnerabilidades; debido a su capacidad de amenaza de seguridad revolucionaria, no se ha lanzado públicamente, sino que ha iniciado el proyecto Project Glasswing, en colaboración con 12 instituciones tecnológicas clave, incluidas AWS, Apple y Microsoft, y organizaciones de código abierto como la Linux Foundation, para su uso inicial en auditorías y refuerzo de seguridad de infraestructuras digitales críticas a nivel mundial.
Autor del artículo: Tang Ren
Fuente: Huoxing Caijing
Creo que la humanidad podría estar siendo alcanzada por la IA a una velocidad que supera la comprensión convencional.
No sé cuál es su situación actual, pero al menos yo ya no puedo vivir sin IA; al menos el 50% de mi trabajo diario lo completo con ayuda de IA.
Además, esta proporción sigue aumentando.
Meanwhile, with each new generation of models being released, both my work efficiency and quality, as well as my monthly spending on tokens, are growing rapidly.
Anoche vi un mensaje diciendo que Anthropic lanzó un modelo tan potente que ni siquiera se atreven a liberarlo públicamente.
El nombre de este nuevo modelo es «Mythos», que en chino significa «mito».
Actualmente es una versión de previsualización, por lo que oficialmente lo llaman «Mythos Preview». Sin embargo, esta vez se lanza en forma de un proyecto llamado «Project Glasswing».
Sobre este proyecto, hablaré más adelante.
El mes pasado, un documento interno de Anthropic se filtró accidentalmente, mencionando que se estaba desarrollando un modelo más grande y potente que Opus, con el código Mythos.
Posteriormente, Anthropic atribuyó esta filtración a «error humano» y no proporcionó más explicaciones.
Now, the model codenamed Mythos has been officially announced.
Aunque se anunció oficialmente, aún no se ha lanzado públicamente. Es decir, los usuarios normales aún no pueden usarlo.
La razón es directa: Anthropic considera que este modelo es demasiado potente y no debe abrirse al público hasta que los mecanismos de seguridad estén completamente implementados.
Creo que esta frase merece una pausa para pensarlo un segundo.
Normalmente, una empresa de IA ansía lanzar un nuevo modelo lo antes posible para aprovechar el mercado, pero esta vez el enfoque de Anthropic es claramente inusual.
En mi opinión, no es que no quieran enviarlo, sino que se atreven a hacerlo.
Porque el modelo llamado Mythos es realmente poderoso.
Primero, vea algunos de los datos de prueba publicados oficialmente.
En capacidad de codificación, la brecha entre Mythos y Claude Opus 4.6, actualmente el modelo más potente disponible públicamente, es considerable; en todas las pruebas de referencia, Mythos supera ampliamente a Opus 4.6.
En capacidad de razonamiento, en la prueba GPQA Diamond (preguntas y respuestas científicas de nivel de posgrado), el resultado es 94.6% frente a 91.3%, y Mythos gana.
En la Prueba Final de la Humanidad, tanto en las pruebas con herramientas como sin herramientas, Mythos ganó por completo.
En capacidades de operación informática relacionadas con Agent, OSWorld-Verified (completar tareas informáticas de forma autónoma) supera a Oputs 4.6 con un 79.6% frente al 72.7%.
En cada dimensión, Mythos supera a Opus 4.6, y en algunas incluso lo supera abrumadoramente.
En algunos desempeños de tareas, la brecha ya no es una iteración incremental, sino un salto significativo. Por ejemplo, SWE-bench Multimodal pasó del 27,1% al 59%, casi duplicándose.
Una de las razones más fundamentales por las que no se atreven a lanzar Mythos es su capacidad excepcional para superar las barreras de seguridad del mundo del software.
En otras palabras, todos los sistemas y software del mundo tienen vulnerabilidades, y Mythos puede descubrir y atacar estas vulnerabilidades por encima del nivel humano.
Supongamos que un hacker adquiere esta capacidad; entonces, todos los sistemas operativos y software del mundo sufrirían consecuencias, especialmente algunas infraestructuras públicas y la seguridad nacional.
Anthropic tiene esta frase en su anuncio, y después de leerla, me parece aterradoramente preocupante.
The encoding capabilities of AI models have reached an extremely high level, and in discovering and exploiting software vulnerabilities, they can almost surpass everyone except the most skilled humans.
Sobre esta frase, me gustaría ampliar un poco más.
Soy programador, así que sé cómo se construye el software y cuánto pueden diferir los códigos escritos por distintas personas.
Además, ningún software se atreve a decir que no tiene fugas, incluso si esa vulnerabilidad nunca se ha descubierto.
La razón por la que las vulnerabilidades anteriores pudieron permanecer tranquilas en el sistema durante décadas no es porque el sistema fuera lo suficientemente seguro.
Pero encontrar vulnerabilidades requiere una capacidad profesional muy alta, una gran paciencia y energía, así como mucho tiempo.
Hay muy poca gente que sabe, y aún menos que se atreven a invertir.
Esta "escasez de capacidades" constituye la premisa implícita de todo el mundo de la seguridad de software. Después de la intervención de la IA, esta premisa comenzó a debilitarse.
La IA puede funcionar de manera superior a la mayoría de los humanos no顶尖, y podemos usarla para atacar vulnerabilidades, así como para cerrarlas.
Para resolver este problema, a continuación les explicaré qué es Project Glasswing de Anthropic.
En pocas palabras, es un proyecto que utiliza las capacidades de Mythos para encontrar errores en los sistemas de infraestructura de todo el mundo.
Los participantes incluyen AWS, Apple, Microsoft, Google, NVIDIA, Cisco, la Fundación Linux y otras 5 instituciones, un total de 12.
Este conjunto cubre computación en la nube, sistemas operativos, chips, navegadores, infraestructura financiera, ciberseguridad y ecosistema de código abierto.
In other words, almost all the key players in the global digital infrastructure are involved in this project.
La lógica central de este proyecto es simplemente una: permitir que el equipo defensivo utilice inicialmente la capacidad de este modelo de IA de primer nivel.
Porque si el atacante obtiene primero herramientas del mismo nivel, una vez que se abre la ventana, es difícil cerrarla. Anthropic se compromete a proporcionar 100 millones de dólares en cuotas de uso del modelo, cubriendo el período de previsualización de investigación.
Además de las 12 instituciones principales, más de 40 organizaciones que mantienen la infraestructura de software clave tienen acceso para escanear sus propios sistemas y proyectos de código abierto con Mythos.
Al mismo tiempo, Anthropic donó 2,5 millones de dólares a la Linux Foundation y 1,5 millones de dólares a la Apache Software Foundation, ambas infraestructuras del mundo del software.
Digamos que las diversas aplicaciones, sitios web y sistemas que utilizamos actualmente se basan en gran medida en ellos.
En mi opinión, Anthropic hizo algo positivo esta vez: no solo lanzó un modelo más potente, sino que también gastó dinero en la infraestructura global de información para mejorarla.
After all, going naked benefits no one.
Quizás aún así no sientas realmente cuán poderoso es Mythos; vi tres casos concretos en el texto oficial que, creo yo, explican mejor que cualquier número.
Primero, OpenBSD.
Es un sistema operativo ampliamente reconocido por su alta seguridad, y muchos servicios de infraestructura crítica se ejecutan sobre él, incluyendo el sistema iOS de nuestros teléfonos Apple, el sistema Android e incluso algunos sistemas internos de empresas e instituciones.
Mythos descubrió una vulnerabilidad de 27 años de antigüedad; un atacante solo necesita conectarse a la máquina objetivo para provocar su colapso remoto.
¡27 años! No es que nadie se importe, es que nadie lo ha encontrado.
Segundo, FFmpeg.
Casi todo software que necesite procesar video depende de él, y prácticamente todas las aplicaciones de reproducción de video que usan contienen su presencia.
Una vulnerabilidad se escondía en una línea de código escrita hace 16 años, y las herramientas de prueba automatizada la atacaron repetidamente durante 5 millones de veces sin encontrarla nunca.
Pero Mythos lo encontró.
El tercero, el kernel de Linux.
This doesn't need much explanation—it's essentially the infrastructure of the entire internet and the most worthy of caution.
Mythos no solo descubrió varias vulnerabilidades independientes, sino que las conectó en una cadena de ataque.
Comience con permisos de usuario normal, escalé privilegios y logre el control total de la máquina.
Sobre Linux, esto es completamente diferente en naturaleza a los dos casos anteriores.
Encontrar vulnerabilidades es una habilidad de análisis.
Pero la vulnerabilidad de cadena es la capacidad de la estrategia.
Al igual que muchos gerentes de producto, saber dibujar prototipos, escribir documentación y realizar análisis de datos son habilidades puntuales. Pero conectar el negocio, el producto y lo comercial es una habilidad estratégica.
Un modelo capaz de planificar rutas de ataque ya no es simplemente una herramienta de auditoría; se acerca más a un agente capaz de actuar activamente en entornos digitales.
En los tres casos anteriores, Anthropic siguió el enfoque de descubrir, informar, reparar y luego divulgar; todos ya han sido corregidos.
Al ver esto, ya sabrás qué tan poderoso es Mythos: como una bestia que aún no se ha liberado de su jaula, el mundo real necesita prepararse para adaptarse a ella.
Quiero compartir algunas observaciones aquí, que podrían ser el verdadero comienzo de los cambios venideros.
En primer lugar, las suposiciones de seguridad en el mundo del software están fallando.
La estabilidad del software que damos por sentada hoy en día no proviene completamente de un diseño de sistema suficientemente bueno. En gran medida, depende de la escasez de la capacidad de ataque.
Dicho de manera sencilla, no es que el software sea lo suficientemente fuerte, sino que las personas no lo son.
Encontrar vulnerabilidades requiere costo, construir cadenas de explotación requiere tiempo y el escaneo a gran escala requiere recursos. Por eso, muchas deudas técnicas, bugs antiguos y sistemas obsoletos siguen existiendo sin haber sido limpiados seriamente.
Al igual que cuando desarrollamos productos, creer que el ciclo lógico está cerrado y que todo está bien no significa que realmente no haya ningún problema; es posible que simplemente hayamos alcanzado nuestro límite de capacidad.
La capacidad demostrada por Mythos reduce el intervalo de tiempo entre el descubrimiento y el aprovechamiento de una vulnerabilidad, de meses a minutos.
What does a few minutes mean?
Significa que el ritmo de los parches y el proceso de corrección ya no pueden seguir el ritmo de los ataques.
En segundo lugar, el mundo de código abierto sentirá primero la presión.
Hoy en día, la mayoría de los software modernos descansan sobre una gran cantidad de dependencias de código abierto. Normalmente son invisibles, pero cuando se ven comprometidas, afectan a toda la industria al mismo tiempo.
Es posible que algunos lectores no comprendan bien esta lógica; dicho de forma sencilla, todos los software que usamos actualmente tienen proyectos de código abierto como base, y el código fuente de estos proyectos es visible para todos.
En el futuro, cuando los modelos puedan escanear proyectos de código abierto de manera continua y a gran escala, el nivel de presión que enfrentarán los mantenedores de la comunidad de código abierto será completamente distinto.
Por eso es por lo que Anthropic dona a la Linux Foundation y a la Apache Foundation.
No se trata de hacer obra benéfica, sino de reconocer que la infraestructura de código abierto es la capa más frágil, pero también la más indispensable, del mundo digital en la era de la IA; simplemente no quieren ser vistos como malvados.
En tercer lugar, los humanos se verán debilitados, y la IA comenzará a competir con la IA.
Anteriormente, el valor del equipo de seguridad de productos de Internet radicaba en el juicio humano, la acumulación de experiencia y la comprensión profunda del sistema.
En el futuro, esto cambiará de lógica.
Se trata de quién tiene el modelo más potente, quién integra las herramientas más rápidamente y quién puede incorporar la auditoría de IA en el extremo inicial del proceso de desarrollo.
No se trata de que los programadores sean reemplazados, sino de que el modo de producción de la industria de la seguridad se reorganizará.
Por otro lado, miles de vulnerabilidades críticas pueden descubrirse en cuestión de semanas. El problema es que los atacantes también tendrán herramientas de igual nivel, tarde o temprano.
Para entonces, la seguridad de los productos de software ya no será una lucha entre personas, sino una batalla de modelos contra modelos.
Esta vez, Anthropic no solo lanzó capacidades, sino también riesgos. Posiblemente sea la honestidad que la industria más necesita ver en esta etapa.
Todos hablan sobre cómo la IA cambia la eficiencia laboral, y no hay nada malo en eso.
Pero Mythos también nos recuerda que el salto en las capacidades de la IA finalmente se transmitirá desde el mundo del contenido al mundo del software, y luego a la infraestructura de todo el mundo digital.
El mundo del contenido ha sido reescrito, lo que afecta la lógica del tráfico.
El mundo del software se ha reescrito; se ha movido la base.
En este momento, recuerdo una línea de la película "2012", que también servirá como cierre de este artículo.
¡Sin importar quién seas, sin importar tu raza o tu país, mañana no tendremos diferencias!