Anthropic
reveló
el viernes que el Proyecto Glasswing ha ayudado a descubrir más de 10.000
vulnerabilidades de alta o crítica gravedad en algunos de los programas
informáticos más importantes a nivel mundial desde que la iniciativa de
ciberseguridad se puso en marcha el mes pasado.
El Proyecto Glasswing es un esfuerzo liderado por la empresa de inteligencia
artificial (IA), en el que un pequeño grupo de aproximadamente 50 socios ha
obtenido acceso a Claude Mythos Preview, un modelo de vanguardia con capacidad
para encontrar vulnerabilidades en software de uso generalizado.
De estas vulnerabilidades, 6.202 se han clasificado como fallos de alta o
crítica gravedad que afectan a más de 1.000 proyectos de código abierto. El
análisis posterior de estas vulnerabilidades candidatas ha identificado 1.726
como verdaderos positivos válidos. Se ha evaluado que hasta 1.094 fallos son
de alta o crítica gravedad.
Una de las debilidades identificadas es una falla crítica en WolfSSL
(CVE-2026-5194, CVSS: 9.1) que podría permitir a un atacante falsificar
certificados y hacerse pasar por un servicio legítimo. En total, estos
esfuerzos han dado como resultado la corrección de 97 vulnerabilidades y la
emisión de 88 avisos de seguridad.
«La relativa facilidad para encontrar vulnerabilidades, en comparación con
la dificultad para corregirlas, representa un gran desafío para la
ciberseguridad», reconoció Anthropic.
«Superar este desafío con éxito hará que nuestro software sea mucho más
seguro que antes».
Este avance se produce en un momento en que los proveedores de software
están lanzando más correcciones que nunca, impulsados por un
aumento en la detección de vulnerabilidades asistida por IA.
Microsoft señala
que el número de nuevos parches que espera lanzar mensualmente
«seguirá aumentando durante algún tiempo».
La plataforma autónoma de seguridad ofensiva
XBOW ha descrito
Mythos Preview como
«un gran avance y es sustancialmente mejor que los modelos anteriores para
encontrar posibles vulnerabilidades»
y «experto en analizar el código fuente con una mentalidad de seguridad».
Análisis recientes también
han demostrado
que el modelo sobresale en convertir las vulnerabilidades en cadenas de
ataque de extremo a extremo.
Anthropic añadió que la utilidad de Mythos Preview va más allá de la detección
de fallos de seguridad. En un caso, un banco asociado a Glasswing habría
utilizado el modelo de IA para detectar y prevenir una transferencia bancaria
fraudulenta de 1,5 millones de dólares después de que un atacante desconocido
accediera a la cuenta de correo electrónico de un cliente y realizara llamadas
telefónicas fraudulentas.
Dado que modelos con capacidades similares a las de Mythos podrían estar
ampliamente disponibles en un futuro próximo, Anthropic insta a los
desarrolladores de software a acortar sus ciclos de parches y a publicar las
correcciones de seguridad lo antes posible. Cabe mencionar que
Oracle ha adoptado recientemente un ciclo de parches mensual
para abordar problemas de seguridad críticos.
«Los responsables de la seguridad de las redes deberían acortar los plazos
de prueba e implementación de parches», afirmó Anthropic.
«Esto incluye medidas como reforzar las configuraciones predeterminadas de
las redes, implementar la autenticación multifactor y mantener registros
exhaustivos para la detección y respuesta».
La empresa de IA también anunció el lanzamiento de un Programa de Verificación Cibernética que permite a los profesionales de la seguridad utilizar sus
modelos sin restricciones para fines legítimos, como la investigación de
vulnerabilidades, las pruebas de penetración y los ejercicios de simulación de
ataques (red teaming). Este programa es similar a Daybreak de OpenAI, que
también permite a los defensores aprovechar GPT-5.5-Cyber para flujos de
trabajo especializados.
Modelos como Mythos Preview y GPT-5.5-Cyber aún no se han lanzado al público
debido a la preocupación por la falta de medidas de seguridad adecuadas para
prevenir su uso indebido a gran escala.
Fuente:
THN