Project Glasswing, la iniciativa de Anthropic para proteger el software crítico con IA

Anthropic ha anunciado Project Glasswing, una alianza de ciberseguridad que reúne a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA y Palo Alto Networks. El objetivo es utilizar la inteligencia artificial de forma defensiva para detectar y corregir fallos de seguridad en el software más crítico del mundo antes de que puedan ser explotados por actores maliciosos.

En el centro de la iniciativa se encuentra Claude Mythos Preview, un nuevo modelo de inteligencia artificial desarrollado por Anthropic que ha demostrado una capacidad notable para identificar vulnerabilidades en código informático. Durante las últimas semanas, el modelo detectó miles de fallos de seguridad desconocidos en todos los principales sistemas operativos y navegadores web. Algunos de estos fallos llevaban décadas sin ser detectados a pesar de haber pasado por millones de pruebas automatizadas.

Entre los casos documentados, el modelo encontró un fallo de 27 años de antigüedad en OpenBSD, un sistema operativo utilizado en cortafuegos e infraestructuras críticas, que permitía a un atacante bloquear de forma remota cualquier equipo que lo ejecutara. También detectó un error de 16 años en FFmpeg, una biblioteca ampliamente utilizada para el procesamiento de vídeo, en una línea de código que había sido analizada cinco millones de veces por herramientas automatizadas sin que nadie lo advirtiera. Además, identificó y encadenó varias vulnerabilidades en el núcleo de Linux para obtener control total sobre un sistema a partir de un acceso de usuario ordinario. Todos los fallos han sido reportados a los responsables del software afectado y ya han sido corregidos.

En los tests de ciberseguridad CyberGym, Mythos Preview alcanzó una puntuación del 83,1%, frente al 66,6% de Claude Opus 4.6. Anthropic no tiene previsto hacer este modelo disponible de forma general, sino que su uso quedará limitado a los socios del proyecto y a más de 40 organizaciones que gestionan infraestructuras de software crítico y de código abierto.

La compañía ha comprometido hasta 100 millones de dólares en créditos de uso del modelo para los participantes, y ha donado 4 millones de dólares adicionales a organizaciones de seguridad de código abierto. En un plazo de 90 días, Anthropic publicará un informe con los resultados obtenidos y las vulnerabilidades que puedan hacerse públicas.

La iniciativa surge ante la constatación de que la IA ha reducido de forma significativa el tiempo y el nivel de conocimiento necesarios para explotar fallos en el software. Project Glasswing busca que los defensores puedan aprovechar estas mismas capacidades antes de que lo hagan los atacantes.

Puntos clave

• Anthropic lanza Project Glasswing para usar IA en la detección de vulnerabilidades en software crítico.
• El modelo Claude Mythos Preview ha encontrado miles de fallos graves en todos los principales sistemas operativos y navegadores.
• Algunos fallos detectados llevaban décadas sin ser descubiertos pese a millones de pruebas automatizadas.
• Doce grandes empresas tecnológicas participan como socias, entre ellas AWS, Microsoft, Google, Apple y Cisco.
• Anthropic no pondrá el modelo a disposición general por el riesgo que supondría en manos equivocadas.
• La compañía destina 100 millones de dólares en créditos de uso y 4 millones en donaciones a proyectos de seguridad de código abierto.
• En 90 días, Anthropic publicará un informe con los resultados y las vulnerabilidades que puedan hacerse públicas.