Anthropic publicó esta semana una actualización de Project Glasswing reportando que Claude Mythos — su LLM autónomo de descubrimiento de vulnerabilidades introducido en abril 2026 — ha identificado 10,000+ fallos a través de 1,000+ proyectos open-source en aproximadamente dos meses. Los números completos: 23,019 issues totales, 6,202 calificados como high o critical severity, 1,752 validados a la fecha con una tasa de true-positive confirmada que supera 90%. Los socios de co-scanning incluyen Cloudflare, Mozilla y otros. La disclosure sigue un embargo de 90 días coordinado con mantenedores — los findings de wolfSSL, por ejemplo, están parcheados pero los detalles permanecen withheld. Para los builders que envían cualquier cosa encima de dependencias OSS, el takeaway es concreto: una porción no-trivial de la supply chain acaba de ser mass-auditada, y los próximos 90 días revelarán el patch trail.
El framing arquitectónico es deliberadamente delgado en el release. Anthropic no divulga si Mythos es un modelo standalone, un harness de agente, o una composición específica de Glasswing — solo que escanea, valida y produce exploits autónomamente. La tasa true-positive 90%+ en 1,752 issues validadas es el número headline en el que enfocarse; esa es la tasa por encima de la cual una herramienta deja de generar busywork y comienza a generar colas de remediación reales. Compara con lo que Microsoft envió a inicios de esta semana — MDASH, un pipeline de 100+ agentes especializados (scan/debate/validate/dedupe/exploit) puntuando 88.45% en CyberGym sobre 1,507 vulns reales — y tienes dos de los más grandes labs AI de EE.UU. aterrizando releases de autonomous-vulnerability-research dentro de siete días uno del otro. La categoría agent-driven vuln research es real y ahora compite en público, ambos tested-internally a muy gran escala (Microsoft en Windows/Hyper-V/Azure, Anthropic en 1,000+ proyectos OSS).
El framing de acceso y safety es la parte que los builders necesitan leer con cuidado. El acceso a Mythos hoy es partner-gated a través de Project Glasswing (AWS, Apple, Google, Microsoft, etc.) más una beta pública de "Claude Security" para clientes enterprise. Anthropic declara explícitamente "no company has developed safeguards strong enough to prevent such models from being misused" y mantiene los "Mythos-class models" retenidos esperando salvaguardas más fuertes. Esa es una admisión inusualmente directa. La lectura honesta es que el mismo modelo que encuentra 10K vulns también puede ser usado para escribir exploits a la misma tasa — el partner-gating es la capa de fricción hasta que el alineamiento mejore. Para investigadores de seguridad independientes y builders de tienda pequeña, eso significa esperar; para equipos de seguridad enterprise ya en Glasswing o Claude Security, la capacidad está aquí ahora.
Lunes por la mañana: si mantienes un proyecto open-source de cualquier tamaño, espera tráfico de correo de coordinated-disclosure durante los próximos 90 días desde findings descubiertos por Mythos — Cloudflare y Mozilla ya están en el loop. Si envías un producto downstream de dependencias OSS, construye la suposición en tu cadencia de parches: la mass-audit de la supply chain está pasando ahora, y la larga cola de parches aterrizará continuamente durante el resto del Q2. Si estás evaluando tooling autonomous-vuln-research para tu propia pipeline, Mythos (gated) y MDASH (private preview) son los dos puntos de referencia publicados esta semana — el patrón arquitectónico (pipelines autónomos scan-validate-exploit) es reproducible desde detalles públicos incluso sin acceso a ninguna plataforma. La pregunta honesta no abordada: cómo se desglosan los 23,019 issues por categoría (memory safety, injection, auth bypass, logic bugs), ya que el release público solo divulga el severity tier. Datos a nivel de clase permitirían a los builders priorizar su propio escaneo.