Anthropic publicó el primer informe sobre su modelo de ciberseguridad Claude Mythos, que encontró 10.000 vulnerabilidades en un solo mes, según el medio tecnológico 01net. La cifra indicó que la detección automatizada de vulnerabilidades ha alcanzado una escala imposible de equiparar para los equipos humanos de seguridad.
El informe llegó en un momento en que empresas y organismos públicos enfrentan un aumento incesante de fallos de software y una escasez persistente de profesionales cualificados. La conclusión es contundente: la detección basada en inteligencia artificial avanza a un ritmo que los procesos tradicionales de aplicación de parches —medidos habitualmente en semanas o meses— no fueron diseñados para absorber. Ese desfase de velocidad es especialmente grave para los operadores de infraestructuras críticas.
Claude Mythos es el sistema de Anthropic diseñado específicamente para tareas de ciberseguridad y se sitúa entre una ola de modelos de vanguardia entrenados para escribir, probar y asegurar código. Según 01net, las 10.000 vulnerabilidades se detectaron durante un periodo de pruebas de un mes, aunque la publicación no especificó si los fallos se encontraron en sistemas de producción en vivo, repositorios de código abierto o entornos simulados. Anthropic no respondió de forma inmediata a una solicitud de detalles adicionales.
La escala empequeñece lo que incluso un equipo numeroso de analistas humanos podría producir en el mismo plazo. Un probador de penetración experimentado puede encontrar unas pocas docenas de hallazgos procesables en un mes; un sistema automatizado que opera a gran escala reduce ese plazo a horas. Los equipos de seguridad, ya desbordados por el ritmo continuo de nuevas vulnerabilidades registradas, se enfrentan a un escenario en el que la detección se acelera más deprisa que la corrección.
La ofensiva de Anthropic refleja los esfuerzos más amplios de la industria de la inteligencia artificial por aplicar modelos de lenguaje de gran tamaño a las operaciones de seguridad, desde el escaneo de código hasta la búsqueda de amenazas. La cifra de 10.000 vulnerabilidades, aunque no verificada por fuentes independientes, añade un dato concreto a un debate a menudo dominado por afirmaciones aspiracionales.
Los autores del informe, según la paráfrasis de 01net, sostuvieron que el hallazgo obliga a repensar las estrategias de defensa de las infraestructuras críticas —las redes eléctricas, los sistemas de agua, las redes de transporte y la infraestructura financiera donde las vulnerabilidades sin parchear implican un riesgo sistémico—. En estos entornos, la aplicación de parches se ralentiza debido a los rigurosos procesos de control de cambios, los requisitos de disponibilidad operativa y la antigüedad de los sistemas subyacentes.
Lo que sigue sin estar claro es cuántas de las 10.000 vulnerabilidades eran únicas, cuántas ya eran conocidas y si Anthropic las comunicó de forma responsable a los responsables de los sistemas afectados antes de publicar el informe. El artículo de 01net no ofreció un desglose por nivel de gravedad ni evidencias de intentos de explotación. Sin esos detalles, es difícil evaluar si el modelo sacó a la luz hallazgos realmente novedosos o una larga cola de problemas de baja severidad.
El episodio agudiza un dilema para los responsables de seguridad: si la inteligencia artificial puede encontrar fallos a escala industrial, la ventana entre el descubrimiento y la explotación se acorta. Los defensores pueden necesitar parcheo o mitigaciones igualmente automatizados, y los reguladores podrían verse presionados para exigir plazos de corrección más breves en las infraestructuras críticas. Por ahora, la cifra de 10.000 vulnerabilidades en un mes indica que la búsqueda de fallos ha entrado en una nueva cadencia y la corrección aún no ha conseguido seguir el ritmo.