La IA que caza sus propios bugs

En abril de 2026, Anthropic dio a conocer un modelo llamado Claude Mythos que hace una cosa excepcionalmente bien: encuentra agujeros de seguridad que nadie sabía que estaban ahí. No en una demo de laboratorio, sino en el software real que hace funcionar al mundo. Mythos encontró miles de vulnerabilidades de día cero en todos los sistemas operativos y navegadores importantes, incluido un bug de 27 años en OpenBSD y una falla de 16 años en FFmpeg por la que todos habían pasado de largo durante más de una década.

Un «día cero» es una falla que la gente capaz de arreglarla todavía no conoce: cero días de aviso. Encontrar una es un trabajo difícil y especializado. Mythos las encontró en masa, y en más del 83% de los casos escribió un exploit funcional al primer intento. Anthropic decidió que era demasiado peligroso lanzarlo, y en su lugar dio acceso anticipado a un grupo reducido —Microsoft, Google, Apple, AWS, Cisco, Nvidia, JPMorgan, la Linux Foundation— bajo el nombre de Proyecto Glasswing.

Esa decisión es toda la historia. Déjame explicar por qué.

La misma habilidad defiende y ataca

Encontrar una vulnerabilidad y explotar una vulnerabilidad son la misma habilidad apuntada en direcciones opuestas. El trabajo de «¿dónde es débil este software?» es idéntico tanto si eres quien lo parchea como si eres quien entra a la fuerza. Así que una herramienta brillante en lo primero es, gratis, brillante en lo segundo. No existe una versión de «encuentra bugs muy bien» que no signifique también «encuentra bugs muy bien para quien sea que la tenga en la mano».

Por eso Mythos no podía simplemente lanzarse. Una herramienta pública tan buena encontrando días cero le entregaría a cada atacante de la tierra el mismo superpoder que les entrega a los defensores. La respuesta de Anthropic —dárselo a la gente que mantiene los sistemas más grandes del mundo, para que puedan encontrar y arreglar sus propios agujeros primero— es una apuesta a que los defensores moviéndose primero le gana a los atacantes moviéndose siquiera. Es una apuesta razonable. No es una apuesta cómoda.

La ventana acaba de acortarse

La seguridad siempre ha funcionado contra reloj. Existe un bug; alguien lo encuentra; la carrera está en si el arreglo se publica antes de que el exploit se propague. Durante décadas esa ventana se medía en semanas o meses: tiempo suficiente para que un parche se desplegara, para que los sistemas se actualizaran.

La IA está colapsando esa ventana. Cuando un modelo puede pasar de «lo encontré» a «exploit funcional» en el tiempo que toma leer esta oración, las cómodas semanas desaparecen. El defensor que espera el ciclo mensual de parches ahora opera en tiempo de atacante. Este es el verdadero cambio operativo detrás del titular: no que se encuentren bugs, sino que la brecha entre el descubrimiento y el armado se está reduciendo hacia cero.

Qué significa esto si publicas software

Tú no obtienes acceso a Glasswing, pero la lección te alcanza igual. La vieja suposición —«nuestro bug pequeño y oscuro probablemente nunca se encuentre»— está muerta. La oscuridad era una defensa solo porque encontrar bugs era caro. Haz que encontrarlos sea barato y automático, y toda falla entra en juego, incluida la de 27 años que nadie miró jamás.

Así que la jugada es la poco glamorosa. Parchea rápido, porque la ventana entre que una falla se hace pública y se explota se está encogiendo. Mantén tus dependencias al día, porque la falla de 16 años en alguna librería que importaste es exactamente lo que estas herramientas sacan a la luz. Y apunta el mismo tipo de herramienta a tu propio código antes de que alguien más apunte la suya: el día cero más barato de arreglar es el que encontraste tú mismo.

En resumen

Claude Mythos es la imagen más clara hasta ahora del doble filo de la IA: un regalo genuino para los defensores y un regalo genuino para los atacantes, en el mismo modelo, porque siempre fueron la misma capacidad. La tecnología no elige bando. La velocidad sí lo hace, y ahora mismo está reduciendo la ventana del defensor de semanas a horas.

No puedes volver a meter esto en la caja, y no puedes optar por salirte del mundo que crea. La única versión de «seguro» que sobrevive a un mundo de caza automatizada de bugs es aquella en la que cazas tus propios bugs primero. Quien encuentre la falla primero decide qué pasa después. Asegúrate, tan a menudo como puedas, de que seas tú.