Project Glasswing crece a medida que la IA para la ciberdefensa ha encontrado más vulnerabilidades de las que esperaba la industria
La IA en seguridad a menudo se presenta con una doble promesa: puede defender mejor, pero también puede magnificar los ataques. El anuncio de Anthropic del 2 de junio de 2026 es interesante porque supone que esta ambigüedad ya ha abandonado el terreno teórico. La compañía ha ampliado Project Glasswing, una iniciativa destinada a proteger el software crítico con acceso controlado a Claude Mythos Preview, de aproximadamente 50 socios iniciales a aproximadamente 150 organizaciones en más de 15 países. ## Qué pasó Según Anthropic, los primeros socios de Glasswing ya han encontrado más de 10.000 fallas de gravedad alta o crítica en sus bases de código. En base a estas primeras semanas de uso y conversaciones con el sector de seguridad, mantenedores de código abierto y el gobierno de Estados Unidos, la empresa decidió ampliar el grupo. La nueva ola incluye sectores que inicialmente estaban subrepresentados, como la energía, el agua, la salud, las comunicaciones y el hardware. El anuncio hace dos afirmaciones sólidas. El primero es un hecho: los modelos de la clase Mythos ya se están utilizando a escala para escanear software crítico y también para escribir parches, realizar comprobaciones previas al lanzamiento y acelerar los flujos de trabajo defensivos. La segunda es una proyección: en 6 a 12 meses, otras empresas pueden tener modelos con capacidades cibernéticas similares y tal vez lanzarlos sin salvaguardias equivalentes. Esta segunda parte es una inferencia de Anthropic, no un hecho consolidado, pero ayuda a comprender la urgencia del movimiento. ## La técnica detrás La ciberdefensa tiene un cuello de botella clásico: descubrir vulnerabilidades se ha convertido en sólo el primer paso. El trabajo duro consiste en validar, priorizar, informar, corregir e implementar correcciones sin interrumpir la producción. Anthropic lo admite explícitamente al decir que el nuevo cuello de botella ya es la revisión, la difusión y el parcheo. Esto cambia el papel de la IA. En lugar de actuar simplemente como un detector, debe participar en todo el ciclo. Modelos como Mythos Preview son útiles precisamente porque pueden razonar sobre código amplio, identificar posibles exploits y sugerir soluciones más específicas. La compañía también conectó a Glasswing con el lanzamiento de Claude Security, un producto comercial basado en modelos públicos más nuevos y el intercambio de herramientas utilizadas por socios confiables. En otras palabras: el laboratorio cerrado comienza a convertirse en una pila operativa. Desde un punto de vista científico, el avance aquí depende de dos capacidades combinadas: el análisis semántico de grandes bases de código y la capacidad de mantener la coherencia en largas cadenas de inferencia. Las herramientas de seguridad tradicionales ya cumplen muchos estándares. La diferencia entre los modelos de frontera radica en correlacionar el contexto, comprender superficies menos explícitas y proponer exploración o corrección con una noción más sistémica. ## Por qué esto es importante Glasswing es relevante porque sugiere que la IA defensiva está cruzando un umbral operativo. No estamos hablando sólo de copilotos para escribir expresiones regulares o resumir CVE. Estamos hablando de modelos utilizados por organizaciones cuyo fracaso podría afectar a más de 100 millones de personas, según la propia Anthropic. Si esto se mantiene, la seguridad del software podría entrar en una era de controles mucho más intensos y continuos. Al mismo tiempo, el anuncio revela un shock estructural. El descubrimiento automatizado de fallas puede crecer más rápido que la capacidad humana para solucionarlas. Esto crea una carrera asimétrica: si los defensores no reorganizan los procesos y la infraestructura, el simple hecho de aumentar la visibilidad de las vulnerabilidades puede generar colas, no seguridad. La IA sólo ayuda realmente cuando también acelera la divulgación, la priorización y la corrección. ## El futuro que anticipa El futuro posible es una seguridad más agente, con modelos que ejecuten escaneo continuo, reproducción de errores, propuestas de parches y verificación previa al lanzamiento, siempre con humanos en el ciclo de aprobación. También es plausible que los mantenedores de código abierto y los operadores de infraestructura crítica lleguen a depender de programas de acceso escalonado para modelos más potentes, al menos hasta que maduren las salvaguardias. También hay una implicación geopolítica. Cuando Anthropic prioriza organizaciones esenciales y habla de expansión internacional, está tratando la capacidad cibernética como un problema de soberanía e infraestructura digitales, no solo como un producto. Esto plantea el debate sobre quién obtiene acceso, con qué controles y a qué ritmo. ## Qué tener en cuenta El primer punto a monitorear es la tasa de conversión desde el descubrimiento hasta la solución implementada. Encontrar 10.000 fallos es impresionante; Cerrar el ciclo con calidad es la verdadera prueba. El segundo es la gobernanza: ¿qué criterios definen a una “organización confiable” para acceder a capacidades más sensibles? El tercero es la difusión. Si modelos con poder similar se vuelven ampliamente disponibles sin suficientes capas defensivas, la ganancia para los defensores puede ser temporal. Aun así, Glasswing ya señala algo importante: el debate sobre IA y ciberseguridad ha entrado en una fase menos abstracta. La industria ya no se pregunta si los modelos pueden encontrar vulnerabilidades graves. Se trata de preguntar cómo organizar las instituciones, los procesos y la rendición de cuentas cuando empiezan a encontrar demasiadas vulnerabilidades.
Fuentes
- https://www.anthropic.com/news/expanding-project-glasswing
- https://www.anthropic.com/product/security