Más de 10,000 vulnerabilidades críticas detectadas en software popular
Publicado el
Introducción
Anthropic ha informado que su iniciativa Project Glasswing ha descubierto más de 10,000 vulnerabilidades de alta o crítica severidad en software fundamental a nivel global desde su lanzamiento el mes pasado. Este proyecto involucra a un grupo selecto de aproximadamente 50 socios que han tenido acceso a Claude Mythos Preview, un modelo de inteligencia artificial (IA) diseñado para identificar fallos en software de uso general.
Detalles de las vulnerabilidades
De las vulnerabilidades detectadas, 6,202 han sido clasificadas como altas o críticas, afectando a más de 1,000 proyectos de código abierto. Un análisis posterior ha confirmado que 1,726 de estas son verdaderas positivas. Entre las vulnerabilidades halladas, destaca una crítica en WolfSSL (CVE-2026-5194, con un puntaje CVSS de 9.1), que podría permitir a un atacante falsificar certificados y hacerse pasar por un servicio legítimo. Hasta ahora, se han emitido 97 parches y 88 avisos relacionados con estas vulnerabilidades.
Desafíos en ciberseguridad
Anthropic ha reconocido que la facilidad para encontrar vulnerabilidades contrasta con la dificultad de corregirlas, lo que representa un desafío significativo para la ciberseguridad. La compañía afirma que abordar este reto de manera efectiva hará que el software sea mucho más seguro que antes.
La creciente capacidad de descubrimiento de vulnerabilidades asistida por IA ha llevado a los proveedores de software a lanzar más parches que nunca. Microsoft ha indicado que espera que el número de nuevos parches mensuales siga aumentando en el futuro.
Avances en los modelos de IA
La plataforma de seguridad ofensiva autónoma XBOW ha calificado a Mythos Preview como un avance significativo, señalando que es sustancialmente mejor que modelos anteriores para encontrar candidatos a vulnerabilidades y eficaz en el análisis de código fuente desde una perspectiva de seguridad. Además, se ha descubierto que el modelo es hábil en convertir vulnerabilidades en cadenas de ataque completas.
Casos de uso y recomendaciones
Anthropic ha destacado que la utilidad de Mythos Preview va más allá del descubrimiento de fallos. Un ejemplo notable involucra a un banco asociado que utilizó el modelo de IA para detectar y prevenir una transferencia fraudulenta de 1.5 millones de dólares tras un ataque de suplantación de identidad.
Dado que modelos con capacidades similares a Mythos podrían estar disponibles en el futuro cercano, Anthropic insta a los desarrolladores de software a acelerar sus ciclos de parches y a hacer disponibles las correcciones de seguridad. Oracle, por ejemplo, ha adoptado recientemente un ciclo de parches mensual para abordar problemas críticos de seguridad.
Estrategias de defensa
Anthropic recomienda a los defensores de redes que acorten los plazos de prueba y despliegue de parches. Esto incluye pasos como fortalecer las configuraciones predeterminadas de las redes, implementar autenticación multifactor y mantener registros exhaustivos para facilitar la detección y respuesta ante incidentes.
La compañía también ha lanzado un programa de Verificación Cibernética que permite a los profesionales de seguridad utilizar sus modelos sin restricciones para fines legítimos como la investigación de vulnerabilidades y pruebas de penetración. Este enfoque es similar al de OpenAI con su modelo Daybreak.
Conclusión
Aunque modelos como Mythos Preview y GPT-5.5-Cyber aún no están disponibles públicamente debido a preocupaciones sobre su uso indebido a gran escala, Anthropic enfatiza la necesidad urgente de que las organizaciones fortalezcan sus defensas cibernéticas. La compañía espera que sus modelos y las herramientas y recursos asociados ayuden a mejorar la postura de ciberseguridad de las organizaciones.