Anthropic ha dado un paso de gigante en la ciberseguridad con Project Glasswing, una iniciativa basada en su modelo de inteligencia artificial Claude Mythos Preview. Desde su lanzamiento en abril, esta herramienta ha analizado más de 1.000 proyectos de código abierto que sustentan gran parte de Internet, revelando una realidad contundente: la IA ha superado a los humanos en la detección y explotación de vulnerabilidades de software. Los resultados, presentados a finales de la semana pasada, muestran que Mythos Preview identificó 6.202 vulnerabilidades de alta o crítica gravedad, de las cuales 1.752 fueron evaluadas por firmas independientes de seguridad. De estas, el 90,6% resultaron ser verdaderos positivos, y el 62,4% (1.094) fueron confirmadas como de alta o crítica gravedad. Esto sugiere que, al ritmo actual, el sistema podría identificar cerca de 3.900 vulnerabilidades críticas en código abierto, además de las detectadas en los socios de Project Glasswing.

El impacto en los mantenedores de código abierto

Los mantenedores de proyectos de código abierto se enfrentan ahora a una avalancha de informes de errores generados por IA, muchos de baja calidad. Anthropic estima que ha notificado 530 fallos de alta o crítica gravedad, y prevé comunicar otros 827. Sin embargo, solo 75 han sido corregidos y se han publicado 65 avisos de seguridad. La compañía atribuye esto a su política de divulgación coordinada de 90 días, a posibles correcciones sin notificación pública y a la sobrecarga del ecosistema de seguridad. Como señalan los autores del informe, “la relativa facilidad de encontrar vulnerabilidades frente a la dificultad de corregirlas constituye un importante reto para la ciberseguridad”.

Reacciones de los expertos

Mark Tauschek, analista de Info-Tech Research Group, considera que la decisión de Anthropic de limitar el acceso a Mythos Preview es una señal clara de que la IA de frontera ha superado un umbral relevante. “La actualización confirma que el coste de descubrir vulnerabilidades ha caído drásticamente. Las organizaciones que gestionan parches con cadencia trimestral operan con un riesgo significativamente mayor”, advierte. Por su parte, Kellman Meghu, CTO de DeepCove Cybersecurity, asegura que “encontrar fallos es ahora barato, pero corregirlos sigue siendo lento y dependiente de la intervención humana”. David Shipley, CEO de Beauceron Security, matiza que de las 10.000 vulnerabilidades reportadas, solo unas 1.500 han sido verificadas por humanos, y cuestiona el coste real de la operación: “¿Cuántos tokens se consumen? He oído cifras en torno a 500 dólares por minuto”.

El nuevo cuello de botella: de la detección a la corrección

El principal desafío ya no es encontrar vulnerabilidades, sino corregirlas. Anthropic reconoce que “el cuello de botella es la capacidad humana para clasificarlos, reportarlos y diseñar parches”. Meghu coincide: “Lo que realmente muestra la actualización es que el cuello de botella ha pasado de la detección a la capacidad de absorber parches”. Su empresa ha tenido que acelerar los procesos de parcheo y endurecer los SLA en dependencias críticas. Sin embargo, advierte que “no confiamos ciegamente en los modelos o agentes para operar de forma autónoma”.

Para abordar esta situación, Anthropic ha lanzado Claude Security en versión beta para clientes empresariales y el Cyber Verification Program, que permite a profesionales de seguridad legítimos usar sus modelos sin restricciones habituales. Como señalamos en nuestro análisis sobre la estrategia de OpenAI y Anthropic para dominar la IA empresarial, estas empresas están desplegando ingenieros en primera línea para integrar la IA en los flujos de trabajo de seguridad.

¿Preparada tu empresa para el nuevo ritmo?

La presión operativa es inmediata. Las organizaciones que dependen de software de código abierto deben replantear sus estrategias de defensa en profundidad. Como se discute en nuestro artículo sobre el nuevo ritmo de parcheo, la ventana entre el descubrimiento y la explotación se reduce constantemente. Shipley concluye que la única solución de fondo es “hacer responsables a los desarrolladores del software que crean”.

Conclusión

Project Glasswing ha demostrado que la IA puede detectar vulnerabilidades a una velocidad y escala sin precedentes, pero también ha puesto de manifiesto la fragilidad del ecosistema de código abierto. La capacidad de corregir fallos no ha seguido el mismo ritmo, creando un nuevo cuello de botella. Las empresas deben adaptarse, invirtiendo en procesos de parcheo más ágiles y en herramientas de IA que asistan a los equipos humanos, sin reemplazarlos por completo. Como señala Meghu, “no es un proceso sencillo”.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.