El modelo de IA restringido de Anthropic logró en semanas lo que los investigadores de seguridad humanos no pudieron lograr en décadas. Project Glasswing, la coalición de ciberseguridad de la empresa, ha identificado colectivamente más de 10,000 vulnerabilidades de software de alta y crítica gravedad, incluyendo miles de fallos zero-day que habían estado ocultos e indetectados en sistemas ampliamente utilizados durante años.
Entre los descubrimientos: una vulnerabilidad de 27 años en OpenBSD y un error de 16 años en FFmpeg. Ambos habían sobrevivido a todas las rondas anteriores de revisión humana del código y pruebas automatizadas.
Qué es realmente Project Glasswing
Anthropic lanzó Project Glasswing el 7 de abril de 2026, construido en torno a su modelo frontera aún no lanzado llamado Claude Mythos Preview. La idea central es sencilla: dirigir una IA extremadamente capaz hacia la infraestructura de software crítica y dejar que busque fallas de seguridad que los humanos siguen pasando por alto.
Claude Mythos Preview es tan eficaz encontrando y explotando vulnerabilidades de forma autónoma que Anthropic decidió no lanzarlo públicamente. En su lugar, formaron una coalición de empresas de tecnología e infraestructura que tienen acceso exclusivo al modelo únicamente para trabajos defensivos de seguridad.
Más de 40 organizaciones ahora participan en la iniciativa. Anthropic ha comprometido hasta $100 millones en créditos de uso de modelos para apoyar el esfuerzo, junto con aproximadamente $4 millones destinados a mejoras de seguridad de código abierto.
La actualización lanzada alrededor del 22-23 de mayo de 2026 es donde los números se vuelven asombrosos. Los socios informaron colectivamente esos 10,000-plus vulnerabilidades de alta y crítica gravedad, con miles clasificadas como zero-days, lo que significa que eran previamente desconocidas para los mantenedores del software y la comunidad de seguridad en general.
El cuello de botella de la corrección
Encontrar vulnerabilidades es una cosa. Arreglarlas es otro problema por completo.
De los miles de hallazgos de alta gravedad validados, se han implementado hasta ahora menos de 100 parches confirmados. La IA puede descubrir fallas a un ritmo que supera con creces la capacidad de la industria para remediarlas.
Los descubrimientos de zero-day son particularmente reveladores. Una vulnerabilidad de 27 años en OpenBSD significa que, durante casi tres décadas, cada auditoría de seguridad, cada campaña de fuzzing y cada par de ojos expertos que revisaron ese código ignoraron algo que un modelo de IA detectó. El error de FFmpeg de 16 años cuenta una historia similar. Estos no son proyectos obscuros. OpenBSD es reconocido por su enfoque en seguridad, y FFmpeg está incrustado en innumerables aplicaciones de medios en todo el mundo.
Qué significa esto para los inversores
Los 100 millones de dólares en créditos de uso que Anthropic comprometió con la iniciativa señalan cuán seriamente los principales laboratorios de IA están tomando la naturaleza de doble uso de sus modelos. Al restringir Claude Mythos Preview a una coalición verificada en lugar de lanzarla ampliamente, Anthropic puede demostrar una implementación responsable mientras establece relaciones profundas con los equipos de seguridad empresarial.