Mythos encuentra 10.000 vulnerabilidades críticas en un mes, pero solo 75 están parcheadas

10.000 vs. 75.

Esos son los dos números más llamativos en el informe del primer mes de Project Glasswing, publicado por Anthropic el viernes (22 de mayo). Durante el último mes, Claude Mythos Preview, trabajando con 50 organizaciones asociadas, descubrió más de 10.000 vulnerabilidades de software de alto riesgo y críticas, pero solo 75 han sido realmente parcheadas.

El problema clave no es cuántas se encontraron, sino cuán pocas se corrigieron.

En números

La propia Anthropic escaneó más de 1.000 proyectos de código abierto con Mythos, identificando 23.019 vulnerabilidades, de las cuales 6.202 eran de alto riesgo o críticas. Cloudflare también realizó su propio escaneo y encontró más de 2.000, incluyendo 400 de alto riesgo. Mozilla corrigió 271 vulnerabilidades en una sola versión de Firefox 150, más de 10 veces el número corregido en Firefox 148.

Las 50 organizaciones asociadas incluyen 12 nombres conocidos en el primer nivel: AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia y Palo Alto Networks. Más de 40 participantes de segundo nivel también respaldan infraestructuras críticas.

Juntos, estos números representan la superficie de ataque real que fue escaneada sistemáticamente por la IA moderna durante el último mes.

  • Más de 1.000 proyectos de código abierto escaneados por Anthropic
  • 23.019 vulnerabilidades totales encontradas en código abierto
  • 6.202 de ellas de alto riesgo/críticas
  • 2.000 vulnerabilidades encontradas por Cloudflare en sus propios sistemas
  • 271 vulnerabilidades corregidas en una sola versión de Firefox 150
  • 530 vulnerabilidades de alto riesgo y críticas reportadas formalmente por Anthropic a los mantenedores
  • 75 realmente parcheadas

El cuello de botella de los parches

La propia Anthropic lo reconoce. La publicación del blog dice:

"El progreso en la seguridad del software solía estar limitado por la rapidez con que podíamos encontrar nuevas vulnerabilidades. Ahora está limitado por la rapidez con que podemos verificar, divulgar y parchear."

En términos simples: antes no podíamos encontrarlas; ahora no podemos corregirlas lo suficientemente rápido.

Anthropic reportó formalmente 530 vulnerabilidades de alto riesgo y críticas a los mantenedores. Hasta el informe del primer mes, solo 75 habían sido parcheadas y solo 65 tenían un aviso de seguridad público. El embudo se estrecha en cada etapa: 530 → 75 → 65.

Más incómodo aún, algunos mantenedores ya han pedido a Anthropic que ralentice los informes: "no envíen demasiados a la vez." Los proyectos de código abierto pequeños y medianos simplemente no tienen personal para verificar, corregir, probar y hacer regresión de cada vulnerabilidad.

Una carrera contra el tiempo

El vicepresidente de Microsoft, Igor Tsyganskiy, hizo un comentario contundente en las declaraciones de los socios:

"Lo que antes tomaba meses ahora ocurre en minutos."

La ventana desde el descubrimiento de una vulnerabilidad hasta su explotación se ha reducido de meses a minutos. Por eso el número 75 pone los pelos de punta. Si capacidades como Mythos caen pronto en manos de atacantes – lo que es solo cuestión de tiempo – la línea de tiempo se convierte en:

  • Encontrar vulnerabilidades: minutos, con escaneo automatizado por IA
  • Escribir código de explotación: minutos, con IA generando código de prueba de concepto
  • Notificar a los mantenedores: días
  • Parchear vulnerabilidades: semanas, meses o incluso más

El CTO de Palo Alto Networks, Lee Klarich, fue directo:

"Mythos Preview es un cambio de juego."

Pero su siguiente frase es aún más reveladora: "Los atacantes pronto podrán encontrar vulnerabilidades más rápido que nunca."

Dónde va el dinero

Anthropic ha invertido en Project Glasswing de la siguiente manera:

  • $100 millones: créditos de uso del modelo para organizaciones asociadas
  • $2.5 millones: para Alpha-Omega y OpenSSF (a través de Linux Foundation)
  • $1.5 millones: para la Apache Software Foundation

El mensaje es claro: el uso del modelo es gratuito, pero los mantenedores de código abierto necesitan financiación. $100 millones suenan mucho, pero divididos entre 50 socios, son $2 millones cada uno – y la carga de trabajo generada por las vulnerabilidades descubiertas está muy por encima de lo que el lado del código abierto puede manejar.

Jim Zemlin, de la Linux Foundation, describió Project Glasswing como proporcionar a los mantenedores de código abierto "un camino creíble" – el camino está dado, pero aún tienen que recorrerlo ellos mismos.

Qué significa

A corto plazo, desde la segunda mitad de este año hasta el próximo, el número de parches de las grandes empresas seguirá aumentando. Microsoft ya ha dicho que "los paquetes de parches seguirán creciendo." Oracle también está acelerando las publicaciones de parches, varias veces más rápido que antes. Firefox 150 corrigió 271 vulnerabilidades; Firefox 151 probablemente corregirá aún más.

A medio plazo, el problema del 'agotamiento de los mantenedores' en el ecosistema de código abierto será llevado al primer plano. Un paquete npm mantenido por voluntarios que solía publicar un parche al año podría recibir ahora 30 informes de Mythos. No pueden corregirlos todos. Decidir cuáles corregir primero, cuáles después y cuáles ignorar se convertirá en un nuevo problema político.

A largo plazo, Project Glasswing revela una verdad más profunda: la IA ha reducido el costo del descubrimiento al mínimo, pero el costo de la corrección – gastos generales de ingeniería y organización – no disminuirá automáticamente a medida que los modelos mejoren. La próxima década de ciberseguridad no será sobre qué IA puede encontrar más vulnerabilidades, sino sobre qué equipo de ingeniería puede convertir más vulnerabilidades 'pendientes' en 'corregidas'.

10.000 vs. 75. Esa proporción es la pregunta del examen para la próxima fase.

Fuentes: Project Glasswing: An Initial Update (Anthropic Research); Anthropic finds over 10,000 software flaws in first month of Project Glasswing (Interesting Engineering); Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious (Security Affairs); CocoLoop