Anthropic reveló el viernes que el Proyecto Glasswing ha ayudado a descubrir más de 10.000 vulnerabilidades de alta o alta gravedad en algunos de los software más «sistémicamente» críticos del mundo desde que se lanzó la iniciativa de ciberseguridad el mes pasado.
Como parte del Proyecto Glasswing, una iniciativa liderada por una empresa de inteligencia artificial (IA), aproximadamente 50 pequeños socios obtuvieron acceso a Claude Mythos Preview, un modelo de frontera con la capacidad de descubrir vulnerabilidades en software ampliamente utilizado.
De estas vulnerabilidades, 6202 están clasificadas como fallas de alta gravedad que afectan a más de 1000 proyectos de código abierto. El análisis posterior de estos candidatos a vulnerabilidad identificó 1.726 como verdaderos positivos válidos. 1.094 defectos están calificados como altos o críticos.
Una de las debilidades identificadas es una falla crítica en WolfSSL (CVE-2026-5194, puntuación CVSS: 9.1) que podría permitir a un atacante falsificar un certificado y hacerse pasar por un servicio legítimo. Estos esfuerzos dieron como resultado un total de 97 hallazgos que fueron revisados previamente y se emitieron 88 recomendaciones.
«La relativa facilidad de encontrar vulnerabilidades en comparación con la dificultad de solucionarlas es un gran desafío para la ciberseguridad», reconoció Antropic. «Si superamos con éxito este desafío, nuestro software será mucho más seguro que antes».
El desarrollo se produce cuando los proveedores de software están enviando más parches que nunca debido a un aumento en los descubrimientos de vulnerabilidades asistidos por IA, y Microsoft dijo que la cantidad de nuevos parches programados para ser lanzados cada mes «seguirá con una tendencia ascendente durante algún tiempo».
La plataforma autónoma de seguridad contra ataques XBOW llama a Mythos Preview un «avance significativo» que es «significativamente mejor que los modelos anteriores para encontrar vulnerabilidades candidatas» y «excelente para analizar el código fuente con una mentalidad de seguridad». Un análisis reciente también encontró que este modelo es mejor para convertir las vulnerabilidades en cadenas de ataques de un extremo a otro.
Anthropic añadió que la utilidad de Mythos Preview va más allá de encontrar fallos de seguridad. En un caso, un banco asociado de Glasswing supuestamente aprovechó un modelo de inteligencia artificial para detectar y detener una transferencia fraudulenta de 1,5 millones de dólares después de que un atacante desconocido comprometiera la cuenta de correo electrónico de un cliente e hiciera llamadas telefónicas falsas.
Dado que los modelos con funcionalidad similar a Mythos pueden estar ampliamente disponibles en un futuro próximo, Anthropic hace un llamado a los desarrolladores de software para que acorten los ciclos de parches y hagan que las correcciones de seguridad estén disponibles lo antes posible. Vale la pena mencionar aquí que Oracle recientemente pasó a un ciclo de parches mensual para abordar problemas críticos de seguridad.
«Los defensores de la red necesitan acortar sus cronogramas de implementación y prueba de parches», dijo Anthropic. «Esto incluye pasos como reforzar la configuración predeterminada de la red, aplicar la autenticación multifactor y mantener registros completos para la detección y respuesta».
La compañía también anunció que lanzó un programa de validación cibernética que permite a los profesionales de la seguridad utilizar sus modelos sin barreras de seguridad para fines legítimos, como investigación de vulnerabilidades, pruebas de penetración y formación de equipos rojos. Esto es similar a Daybreak de OpenAI, donde los defensores también pueden aprovechar GPT-5.5-Cyber para flujos de trabajo especializados.
Modelos como Mythos Preview y GPT-5.5-Cyber aún no están disponibles públicamente debido a la preocupación de que actualmente no existen salvaguardias adecuadas para evitar la explotación a gran escala.
«Glasswing ayuda a los ciberdefensores críticos del sistema a obtener una ventaja asimétrica». «Sin embargo, existe una necesidad urgente de que el mayor número posible de organizaciones fortalezcan sus ciberdefensas. Esperamos que el modelo disponible públicamente y las nuevas herramientas, recursos e investigaciones que estamos proporcionando junto con él ayuden a esas organizaciones a mejorar su postura de ciberseguridad».
Source link
