Anthropic lanzó Claude Mythos Preview y, según su blog oficial, el modelo consiguió desarrollar exploits pagando apenas 50 dólares en llamadas a la API; eso resume por qué no es solo un hito técnico sino un problema operativo urgente. Vemos que Mythos no es una herramienta pasiva de auditoría: en los documentos públicos de Anthropic se describen casos en los que el modelo encontró fallos en software con décadas de vida y además generó exploits funcionales, lo que obliga a repensar quién puede usar este tipo de sistemas y bajo qué condiciones.
¿Qué hizo exactamente Claude Mythos?
Anthropic documenta ejemplos concretos: Mythos detectó una vulnerabilidad en OpenBSD que, según sus informes, llevaba desde 1998 sin ser señalada, un periodo que Anthropic describe como 27 años en algunos resúmenes; además localizó un error en FFmpeg con código originado en 2003 y que se volvió explotable tras una refactorización de 2010, de acuerdo con los mismos documentos. El equipo también reporta que Mythos identificó una falla en el servidor NFS de FreeBSD que llevaba 17 años en el código y construyó un exploit funcional, según el reporte técnico. Estos casos llegan acompañados de cifras: Anthropic afirma que el 99% de ciertas vulnerabilidades descubiertas inicialmente no estaban parcheadas y que, tras revisión, el 89% de 198 informes coincidieron con la valoración de gravedad de expertos externos, datos que debemos pedir que sean reproducibles y auditables.
¿Por qué esto genera tanto miedo?
El problema central no es que Mythos encuentre fallos —esa es la promesa de la automatización— sino que además los convierte en exploits listos para ejecutar. Anthropic describe el uso de un arnés agéntico que permite al modelo ejecutar acciones, leer resultados y planificar en bucle; en esa configuración el sistema alcanzó 100% de éxito en Cybench, un benchmark con 40 retos públicos, mientras que una versión anterior como Opus 4.6 registraba 93% según los mismos documentos. Esa velocidad y autonomía reducen drásticamente la barrera de entrada para crear ataques sofisticados: lo que antes requería semanas de trabajo humano ahora puede costar apenas decenas de dólares y minutos de cómputo, según los ejemplos publicados por Anthropic.
¿Cómo impacta esto en Argentina y en nuestra infraestructura?
No hay que sobredimensionar lo concreto ni minimizar el riesgo: muchas instituciones públicas y privadas en Latinoamérica dependen de software de código abierto y bibliotecas ampliamente usadas que, como FFmpeg o componentes de sistemas operativos, tienen historial de parches acumulados durante décadas. Si un modelo puede automatizar la búsqueda y explotación de fallos —como documenta Anthropic— el riesgo para servidores de gobierno, proveedores de servicios y operadores de infraestructura crítica aumenta. Además, la disponibilidad de exploits sin parchear es alta en los ejemplos reportados: Anthropic señala que durante su lanzamiento una gran parte de los hallazgos aún no estaba parchada, algo que puede traducirse en ventanas de riesgo prolongadas para organizaciones con capacidades limitadas de respuesta.
Qué pedimos: límites operativos, métricas y documentación en español
Nuestra posición es clara y coherente con lo expresado previamente: apoyamos que se avance técnicamente, pero exigimos restricciones operativas y transparencia. Pedimos que el acceso a sistemas con capacidad de explotación autónoma se limite a entornos controlados y auditorías certificadas; además exigimos métricas públicas reproducibles —por ejemplo, la tasa de coincidencia con auditores externos que Anthropic reportó en 89% de 198 casos debe ser verificable por terceros—, documentación técnica disponible en español y procesos de gobernanza que incluyan revisión humana antes de cualquier divulgación o despliegue. Sin estas condiciones, la tecnología puede ampliar riesgos que ya existen en la red en lugar de mitigarlos.
En síntesis, Mythos es una señal clara de que la IA puede cambiar la balanza en ciberseguridad: promete mejorar las auditorías, pero también baja la barrera para crear exploits. Por eso apoyamos limitar acceso operativo y pedir transparencia, documentación en español y gobernanza con revisión humana, no como freno al progreso, sino como requisito para que el progreso no llegue a costa de la seguridad pública.
