El 18 de mayo, Anthropic cambió su política: antes, los socios que usaban Mythos para descubrir vulnerabilidades debían manejarlas internamente; ahora pueden compartirlas entre sí, con reguladores, medios e incluso públicamente.
Este cambio es una corrección significativa a la lógica de todo el programa Mythos.
La política anterior era cerrada
Mythos se lanzó el 7 de abril: un modelo de IA entrenado en Claude, especializado en descubrimiento de ataques, que escanea software común para encontrar vulnerabilidades desconocidas. No se vendió directamente al público, sino que se distribuyó a través de Project Glasswing, un programa controlado con 40 empresas participantes, incluyendo Amazon, Microsoft, Nvidia y Apple. El objetivo era controlar la difusión: una IA que encuentra vulnerabilidades podría ser utilizada como herramienta de ataque si se malinterpreta.
Según los términos originales, los socios solo podían manejar las vulnerabilidades descubiertas internamente. Esto creó una situación incómoda:
Palo Alto Networks usó recientemente Mythos para escanear sus propios productos, descubriendo 75 vulnerabilidades en un mes, siete veces su ritmo normal.
Si Palo Alto no podía compartir sus hallazgos, el nivel de seguridad de toda la industria solo aumentaba dentro de Glasswing, dejando a otras empresas que usan los mismos productos vulnerables sin conocimiento del problema.
Qué cambió y con quién se puede compartir
Según un portavoz de Anthropic a Reuters:
"Apoyamos plenamente que nuestros socios compartan hallazgos entre sí y con empresas fuera de Glasswing para priorizar y gestionar vulnerabilidades."
Los socios ahora pueden compartir información sobre vulnerabilidades descubiertas por Mythos con:
- Otros miembros de Glasswing
- Empresas fuera de Glasswing (proveedores afectados)
- Organizaciones de la industria
- Reguladores y gobiernos
- Mantenedores de software de código abierto
- Medios
- Público
Siempre que sigan las normas de divulgación responsable, es decir, dar a los proveedores una ventana de corrección antes de la divulgación pública.
Por qué el cambio ahora
Esto no fue iniciativa de Anthropic, sino impulsado por los socios. Les preocupaba que saber de una vulnerabilidad por sí solos los convirtiera en objetivo. Por ejemplo, si la Empresa A usaba Mythos para encontrar un zero-day en una base de datos popular, según las reglas antiguas solo podía parchear silenciosamente su propia implementación. Pero los atacantes podrían inferir la vulnerabilidad a partir del parche, exponiendo instantáneamente a todas las demás empresas que usan la misma base de datos.
Por lo tanto, la flexibilización de la política convierte esencialmente la "información de defensa" de un bien privado nuevamente en un bien público, alineándose con el consenso de la comunidad de seguridad sobre divulgación temprana, amplia y coordinada.
También los reguladores están buscando contacto
Según informes de PYMNTS y BusinessToday, Anthropic acordó dar una sesión informativa especial a la Junta de Estabilidad Financiera (FSB) sobre las capacidades y hallazgos de Mythos. Esto sigue a las preocupaciones de los gobernadores de bancos centrales, Powell y Bessent tras el lanzamiento de Mythos en abril-mayo, y el interés de los reguladores financieros asiáticos y europeos que querían probar la herramienta pero no tenían acceso. Anthropic ha abierto ahora un canal de comunicación.
Qué significa este paso
Mirando la línea de tiempo:
- 7 de abril: Lanzamiento de Mythos, prueba cerrada
- Abril–mayo: Miembros de Glasswing divulgan hallazgos, bancos centrales alarmados
- 18 de mayo: Reversión de política, hallazgos compartibles
En solo 40 días, Anthropic pasó de "control estricto de difusión" a "fomentar el intercambio" – el factor clave fueron los datos reales de los socios que demostraron que la capacidad de descubrimiento de ataques de Mythos es estructuralmente superior, no incidental.
El próximo punto es si Glasswing se expandirá. Si Anthropic aumenta la escala de 40 a 100 o 200 empresas, el programa evolucionará de un "proyecto piloto de exhibición" a una "infraestructura de la industria".
Una pregunta que nadie había considerado hace unos años ahora está sobre la mesa de todas las grandes empresas: si su equipo de seguridad no usa IA, y sus adversarios la usan, ¿cuál es su plan?
Fuentes: Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN); Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS); Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday); CocoLoop; Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)