El Claude Mythos de Anthropic ha descubierto autónomamente miles de vulnerabilidades zero-day en los principales sistemas operativos y navegadores, logrando una tasa de éxito en desarrollo de exploits del 72.4% sin guía humana. El modelo puede tomar un identificador CVE y hash de commit git, luego producir exploits funcionales en horas. Esto se une a una lista creciente de investigación de vulnerabilidades potenciada por IA: Big Sleep de Google encontró 20 zero-days en proyectos open source, mientras que OpenClaw de Sophos comprimió el reconocimiento de Active Directory de tres días a tres horas en pruebas internas.
Los números cuentan la historia real. El tiempo hasta explotación ha caído de 61 días en 2024 a 28.5 días en 2025, con el tiempo mediano desde divulgación hasta la lista Known Exploited Vulnerabilities de CISA reduciéndose de 8.5 a 5 días. La explotación confirmada de vulnerabilidades de alta severidad se duplicó a 146 casos en 2025. Esto no es solo investigación más rápida—es un cambio fundamental en la economía del descubrimiento de vulnerabilidades que los defensores no han alcanzado.
Lo que falta en la respuesta de la industria de seguridad es reconocimiento honesto de la brecha de capacidad. Mientras Rapid7 y CSA se enfocan en parchear más rápido, Sophos está realmente ejecutando estas herramientas internamente y viendo el impacto de primera mano. Su ejercicio OpenClaw produjo 23 hallazgos accionables incluyendo rutas de escalación Domain Admin desde una sola cuenta sin privilegios. Eso no es teórico—es ofensa lista para producción.
Para desarrolladores construyendo sistemas IA, esto significa que la seguridad ya no puede ser una ocurrencia tardía. Necesitan revisiones de seguridad potenciadas por IA en pipelines CI/CD ahora, no cuando llegue su próxima auditoría de seguridad. La vieja suposición de que tienen semanas para responder a vulnerabilidades está muerta.