Anthropic ha publicado esta semana un documento técnico extenso sobre las capacidades de ciberseguridad de Claude Mythos Preview, su nuevo modelo de lenguaje todavía en acceso limitado. El informe, firmado por más de veinte investigadores de seguridad internos y externos, describe lo que la empresa califica como “un momento bisagra para la seguridad informática”: un modelo capaz de identificar y explotar vulnerabilidades zero-day en todos los sistemas operativos y navegadores principales de forma completamente autónoma.
La publicación viene acompañada del lanzamiento de Project Glasswing, una iniciativa coordinada para usar Mythos Preview de forma defensiva: encontrar y parchear vulnerabilidades críticas en software esencial antes de que modelos con capacidades similares estén ampliamente disponibles.
Un salto cualitativo respecto a generaciones anteriores
La comparación con modelos previos es contundente. Opus 4.6, hasta ahora el modelo más capaz de Anthropic, tenía una tasa de éxito cercana al 0% en desarrollo autónomo de exploits. En un benchmark concreto —convertir vulnerabilidades conocidas del motor JavaScript de Firefox 147 en exploits funcionales—, Opus 4.6 lo consiguió dos veces en varios cientos de intentos. Mythos Preview lo logró 181 veces, además de obtener control de registros en 29 casos adicionales.
En los benchmarks internos sobre repositorios open source, Mythos Preview alcanzó el nivel más alto de severidad (control total del flujo de ejecución) en diez targets independientes y completamente parcheados, frente al único caso que habían conseguido Sonnet 4.6 y Opus 4.6.
Lo más relevante: Anthropic afirma no haber entrenado al modelo explícitamente para estas capacidades. Emergieron como consecuencia directa de mejoras generales en código, razonamiento y autonomía.
Tres casos técnicos documentados
Un bug de 27 años en OpenBSD
Mythos Preview identificó una vulnerabilidad en la implementación de SACK (Selective Acknowledgement) de TCP en OpenBSD, introducida en 1998. El bug combina dos errores sutiles: una validación incompleta de los rangos de SACK y un desbordamiento de entero con signo en las comparaciones de números de secuencia TCP.
La consecuencia: un atacante remoto puede enviar un paquete especialmente construido que provoca un null pointer dereference en el kernel de OpenBSD, crasheando cualquier máquina que responda por TCP. El coste total del análisis fue inferior a 20.000 dólares en llamadas a la API; el run específico que encontró el bug costó menos de 50 dólares.
Una vulnerabilidad de 16 años en FFmpeg
En el codec H.264 de FFmpeg, Mythos Preview identificó un bug introducido en 2003 y convertido en vulnerabilidad en 2010 tras una refactorización. El problema: una tabla de 16 bits inicializada con memset(-1) usa el valor 65535 como centinela, pero un atacante puede construir un frame con exactamente 65536 slices, haciendo que el slice número 65535 colisione con ese centinela y provocando una escritura fuera de límites en el heap.
El bug había sobrevivido a años de fuzzing intensivo y revisiones humanas. Tres vulnerabilidades adicionales en FFmpeg encontradas en el mismo proceso ya han sido corregidas en FFmpeg 8.1.
Ejecución remota de código en FreeBSD
El caso más impactante: Mythos Preview identificó y explotó de forma completamente autónoma una vulnerabilidad de 17 años en el servidor NFS de FreeBSD (CVE-2026-4747), sin ninguna intervención humana más allá del prompt inicial.
La vulnerabilidad es un clásico desbordamiento de buffer de pila en la implementación de RPCSEC_GSS: el código copia datos de un paquete controlado por el atacante a un buffer de 128 bytes, con una comprobación de longitud que permite escribir hasta 304 bytes arbitrarios. Las defensas habituales (stack canary, ASLR) no aplican en esta ruta de código concreta.
El exploit que construyó Mythos Preview divide el ataque en seis peticiones RPC secuenciales para esquivar la limitación de tamaño del payload, y termina añadiendo la clave SSH del atacante al archivo /root/.ssh/authorized_keys, obteniendo acceso root completo sobre el servidor desde internet sin autenticación previa.
Encadenamiento de vulnerabilidades en Linux y navegadores
Más allá de bugs individuales, el informe documenta la capacidad de Mythos Preview para encadenar múltiples vulnerabilidades en secuencia. En el kernel de Linux, el modelo identificó y encadenó hasta cuatro vulnerabilidades distintas para construir exploits de escalada de privilegios locales: primero bypasear KASLR mediante una vulnerabilidad de lectura, luego usar una escritura fuera de límites para modificar estructuras de datos críticas, con heap spray para colocar los datos exactamente donde se necesitan.
En navegadores web, desarrolló JIT heap sprays completamente autónomos en múltiples navegadores principales, encadenando primitivas de lectura y escritura descubiertas por el propio modelo. En al menos un caso, la cadena completa incluye escape del sandbox del renderer y escalada de privilegios en el sistema operativo subyacente: una página web visitada por cualquier usuario comprometería el kernel del sistema.
Más allá del código abierto: binarios cerrados y vulnerabilidades lógicas
Una capacidad que merece mención aparte: Mythos Preview puede descompilar binarios sin código fuente y encontrar vulnerabilidades en software propietario. Anthropic ha usado esto en browsers y sistemas operativos cerrados — offline y respetando los programas de bug bounty correspondientes — encontrando vulnerabilidades de DoS remoto, firmware que permite rootear smartphones, y cadenas de escalada de privilegios en sistemas de escritorio. Los detalles permanecen bajo embargo hasta que los parches estén disponibles.
El informe también documenta vulnerabilidades lógicas — no errores de memoria, sino fallos en la lógica de negocio. Bypasses de autenticación que permiten a usuarios no autenticados otorgarse privilegios de administrador, logins sin contraseña ni segundo factor, y ataques DoS que borran datos remotamente. Encontrar estos bugs ha sido históricamente mucho más difícil de automatizar que los de memoria, precisamente porque no existe un oráculo claro (como Address Sanitizer) que confirme el fallo.
Miles de vulnerabilidades pendientes de parchear
La escala del hallazgo es lo que hace especialmente relevante este informe. Anthropic afirma haber identificado miles de vulnerabilidades de severidad alta y crítica que están siendo comunicadas de forma coordinada a mantenedores y vendedores. El 89% de las evaluaciones de severidad del modelo fueron confirmadas exactamente por revisores humanos expertos; el 98% estaban dentro de un nivel de diferencia.
Dado que el proceso de divulgación responsable requiere validación humana antes de cada comunicación, menos del 1% de las vulnerabilidades encontradas han sido parcheadas hasta la fecha. A lo largo del post, Anthropic incluye hashes SHA-3 como compromisos criptográficos de vulnerabilidades y exploits que publicará en detalle una vez que los correspondientes parches estén disponibles.
El arte de convertir un bug de un bit en escalada de privilegios
El informe incluye uno de los análisis de explotación más detallados publicados por un laboratorio de IA: cómo Mythos Preview convirtió de forma autónoma una escritura fuera de límites de un solo bit en una escalada de privilegios completa en Linux.
El punto de partida es una vulnerabilidad en ipset, el subsistema de netfilter que permite al kernel gestionar conjuntos de IPs como bitmaps. El bug permite a un atacante calcular un índice fuera de los límites del bitmap y escribir bits arbitrarios en members + 4096 — es decir, 4096 bytes más allá del buffer asignado.
La clave está en cómo funciona el asignador de memoria del kernel. El sistema SLUB de Linux gestiona objetos de tamaño fijo en slabs que ocupan páginas físicas contiguas. Un bitmap de 192 bytes (kmalloc-192) comparte la misma freelist del asignador de páginas que las page-table pages — las páginas que almacenan las entradas de tabla de páginas (PTEs) que controlan los permisos de memoria de cada proceso.
Mythos Preview hace la observación crucial: members + 4096 cae exactamente al principio de la página física siguiente. Si esa página resulta ser una page-table page, el bit que se escribe es el bit 1 del primer PTE — exactamente _PAGE_RW, el flag que determina si ese mapeo de memoria es escribible.
El exploit explota el comportamiento del per-CPU pageset (PCP) del asignador de páginas de Linux para forzar que una page-table page quede físicamente adyacente al slab del bitmap:
- El exploit se fija en la CPU 0
- Lanza un proceso hijo que toca ~2000 páginas separadas 2 MB entre sí, forzando la creación de miles de page-table pages nuevas
- El hijo termina, devolviendo todas esas páginas al asignador y forzando al buddy allocator a coalescerlas en bloques contiguos
- Cuando el exploit comienza a asignar bitmaps de 192 bytes, el PCP se rellena desde esos bloques contiguos, garantizando con alta probabilidad que la página físicamente siguiente al bitmap sea una page-table page
- Con la adyacencia conseguida, el exploit necesita identificar cuál de los 256 bitmaps quedó junto a una page-table page — y lo hace usando el propio bug como oráculo (ver siguiente sección)
El oráculo: convertir el bug en sensor
El exploit no puede leer memoria del kernel para comprobar la adyacencia directamente. En su lugar, usa el flag NLM_F_EXCL del subsistema netlink de forma ingeniosa.
Normalmente, ipset ignora silenciosamente los errores “intenté borrar algo que no existía” (comportamiento esperado). Pero si el flag NLM_F_EXCL está activado, devuelve el error a userspace e interrumpe el bucle inmediatamente.
El exploit hace lo siguiente para cada uno de los 256 bitmaps candidatos:
- Mapea previamente 21 direcciones espaciadas exactamente 96 KB entre sí, de forma que sus PTEs caigan en los offsets 0, 192, 384… 3840 dentro de la page-table page — exactamente alineados con los 21 slots de un slab
kmalloc-192 - Intercala estas operaciones con creaciones de ipsets: fault, create, fault, create, 256 veces, agotando el caché
kmalloc-192y forzando al kernel a mezclar page-table pages y slab pages desde la misma freelist - Para cada bitmap candidato, ejecuta un
IPSET_CMD_DELcon el CIDR desbordado yNLM_F_EXCLactivado
La lógica es elegante: las PTEs de las páginas mapeadas son páginas normales escribibles, con los bits 0 (present), 1 (writable) y 2 (user-accessible) a 1. El bucle DEL empieza limpiando el bit 1 (writable → ok, continúa), luego el bit 2 (user → ok, continúa), y se detiene en el bit 3 (PWT, que normalmente es 0 en páginas normales).
Ahora el exploit intenta leer desde esa dirección canario. El procesador recorre la tabla de páginas, ve U/S=0 (kernel-only), lanza un page fault con protection-violation, y el kernel envía SIGSEGV. El exploit lo captura con sigsetjmp/siglongjmp. Una SIGSEGV en una página que se podía leer hace un momento significa que ese bitmap es el que está físicamente adyacente a esa page-table page.
Si la página adyacente no es una PTE page, el bit 1 en ese offset casi siempre ya estaba a 0 (página libre, PTE de solo lectura, campos de objeto slab), el DEL falla en la primera iteración sin modificar nada, la lectura canario tiene éxito, y el exploit pasa al siguiente candidato.
Con esto, el exploit conoce con precisión: “el bitmap N tiene su bit OOB sobre el flag R/W de la PTE índice K, en la page-table page P, que mapea la dirección virtual V en mi proceso.”
La fase final: sobrescribir /usr/bin/passwd desde userspace
Con la PTE objetivo identificada, el exploit la limpia con MADV_DONTNEED (que pone la entrada a cero limpiamente) y luego mapea con MAP_FIXED | MAP_SHARED | MAP_POPULATE la primera página de /usr/bin/passwd en la misma dirección virtual V.
La elección de passwd no es arbitraria: es un binario setuid-root, lo que significa que cualquier cosa que el kernel ejecute desde su primera página lo hará con privilegios de root. MAP_SHARED es la clave: en lugar de una copia privada, el mapeo apunta directamente a la copia en caché del kernel del archivo.
Hay una sutileza final: MAP_FIXED primero desmapea lo que haya en V, y si ningún VMA cubriera ese rango de 2 MB, el kernel liberaría la page-table page rompiendo la adyacencia. Pero el resto del mapeo canario de 2 MB rodea el hueco de 4 KB, por lo que la comprobación floor/ceiling de free_pgd_range() deja la página de tabla en su sitio, y la nueva PTE de passwd aterriza en exactamente el mismo slot físico.
Ahora el exploit dispara el bug una última vez con IPSET_CMD_ADD: la PTE de passwd tiene los bits Present y User-accessible a 1, pero Writable a 0. El ADD establece ese bit y se detiene. El proceso tiene ahora un mapeo escribible en userspace de una página que simultáneamente es la copia en caché del kernel de /usr/bin/passwd.
Un simple memcpy de 168 bytes sobreescribe la cabecera del ELF con un stub que ejecuta setuid(0); setgid(0); execve("/bin/sh"). Como el mapeo es MAP_SHARED, la escritura va directamente al page cache: todos los procesos del sistema ven inmediatamente los bytes modificados. Y como passwd es setuid-root, ejecutar /usr/bin/passwd lanza ese stub como root.
Coste total del exploit (partiendo del informe de Syzkaller): menos de 1.000 dólares en llamadas a la API, y medio día de ejecución.
Lo que hace este exploit especialmente notable no es la sofisticación individual de cada paso, sino que Mythos Preview llegó a esta cadena completa de forma completamente autónoma, sin intervención humana más allá del prompt inicial.
Segundo exploit documentado: leer un byte liberado hasta obtener root
El segundo caso que documenta Anthropic parte de CVE-2024-47711, un use-after-free en unix_stream_recv_urg() parcheado en septiembre de 2024. El bug permite a un proceso sin privilegios leer exactamente un byte de un buffer de red ya liberado del kernel.
Un primitivo de lectura por sí solo no escala privilegios, por lo que este exploit encadena un segundo bug independiente — un use-after-free en el scheduler de traffic control (commit 2e95c4384438) — para conseguir la llamada a función controlada final. Pero el trabajo interesante está en la parte de lectura.
Los sockets de dominio Unix (AF_UNIX) son los sockets locales que los procesos Linux usan para comunicarse entre sí. Soportan una característica heredada de TCP llamada “out-of-band data”: un mecanismo para enviar un byte urgente que salta la cola del stream normal. El kernel rastrea el byte out-of-band actual con un puntero oob_skb en el socket, apuntando a la estructura sk_buff — el buffer de paquete del kernel.
La vulnerabilidad surge de una secuencia precisa: enviar el byte out-of-band A, recibirlo (su sk_buff queda como placeholder vacío en la cola), enviar el byte out-of-band B (ahora oob_skb apunta a B), y luego hacer un recv() normal. La función manage_oob() ve el placeholder de A al principio de la cola, lo salta, y devuelve B al path de recepción normal, que lo consume y libera como si fuera datos ordinarios. Pero oob_skb sigue apuntando a B. Un recv(MSG_OOB | MSG_PEEK) posterior desreferencia ese puntero colgante y copia un byte de donde sea que apunte el campo data del sk_buff liberado.
Cross-cache reclaim y ring buffer como puente
El primer problema es controlar qué ocupa el slot liberado de B. Los sk_buffs se asignan desde skbuff_head_cache, una caché dedicada que no comparte con nada más — el truco habitual de spray con objetos del mismo tamaño no funciona aquí.
Mythos Preview aplica cross-cache reclaim: spray de ~1.500 sk_buffs para rodear a B con objetos controlados, luego liberar el spray (manteniendo un grupo separado para que el slab activo de SLUB quede en otro sitio). Con todos los objetos del slab de B liberados y las listas parciales saturadas, SLUB devuelve esa página completa al page allocator.
Inmediatamente después, crea un AF_PACKET receive ring: una instalación de captura de paquetes donde el kernel asigna páginas y las mapea tanto en espacio kernel como en userspace para entrega sin copia. Esa asignación solicita páginas con el mismo migratetype que la página slab recién liberada — el page allocator devuelve exactamente la misma página física. El exploit tiene ahora un mapeo de lectura/escritura en userspace de la página física donde apunta oob_skb.
Escribe el mismo sk_buff falso en los 16 slots posibles de 256 bytes de esa página, con data apuntando a la dirección objetivo. Cualquier slot que lea el kernel verá lo mismo. Reescribir data en los dieciséis slots a target + 1 y llamar de nuevo a recv permite leer el siguiente byte — primitivo de lectura arbitraria del kernel, un byte a la vez.
Saltarse HARDENED_USERCOPY
Aquí el exploit choca con CONFIG_HARDENED_USERCOPY: cada copy_to_user() comprueba que el buffer origen pertenezca a una región explícitamente permitida. La mayoría de cachés slab no allowlistan nada. Mythos Preview sólo puede leer de tres clases seguras:
- Direcciones donde
virt_addr_valid()es falso (cpu_entry_area, fixmap…) - Espacio vmalloc, que incluye los stacks de threads del kernel
- Páginas no gestionadas por slab (.data/.rodata, bootmem per-CPU, las páginas del packet ring)
Toda la cadena de lectura siguiente usa exclusivamente estas tres clases.
Paso 1 — Derrotar KASLR: La tabla de descriptores de interrupciones tiene un alias en la dirección fija 0xfffffe0000000000 (cpu_entry_area, primera clase segura). Leyendo la entrada 0 (el handler de divide-error), cuyo offset dentro de la imagen del kernel es una constante en tiempo de compilación, el exploit recupera la dirección completa en ocho lecturas de un byte. Base del kernel conocida.
Paso 2 — Encontrar la dirección kernel del ring: La base del kernel no revela dónde están las páginas heap. Pero recv(MSG_OOB | MSG_PEEK) carga el puntero oob_skb colgante en un registro callee-saved, que el siguiente frame de llamada empuja al stack del kernel como parte de su prólogo. En el momento exacto en que se dispara el primitivo de lectura, ese puntero — una dirección dentro del ring — está en el stack del kernel del mismo syscall. El stack del kernel es vmalloc (segunda clase segura), por lo que la lectura pasa la comprobación.
Para encontrar el stack: per_cpu_offset[] vive en .data del kernel a un offset ahora conocido (tercera clase). Leyendo per_cpu_offset[0] más el offset en tiempo de compilación de pcpu_hot.top_of_stack se obtiene la dirección del top del stack de la CPU 0. Desde ahí, el exploit escanea hacia abajo buscando la dirección de retorno al path de recv (valor exactamente calculable tras derrotar KASLR). El puntero oob_skb guardado está unos words más abajo — el exploit busca el primer puntero alineado a 256 bytes en rango del direct map, ya que los sk_buff miden 256 bytes. Ese valor es la dirección virtual kernel del slot del ring.
Un último paso de bookkeeping: escribe un número mágico diferente en cada slot del ring desde userspace y lee el número mágico en la dirección kernel filtrada. El valor que devuelve identifica el slot de userspace correspondiente. Ya puede calcular la dirección kernel de cualquier byte en esa página.
El segundo bug: DRR scheduler use-after-free
El primitivo de lectura no puede escalar privilegios por sí solo. Mythos Preview encadena el scheduler de traffic control DRR (commit 2e95c4384438): crear un qdisc DRR con handle ffff:, borrar una clase mientras sigue enlazada en la lista activa la libera, pero el siguiente dequeue sigue leyendo class->qdisc->ops->peek desde el slot liberado y lo llama.
drr_class viene de kmalloc-128, que sí comparte con otros objetos. El exploit spray con msgsnd(): un mensaje de 80 bytes produce una asignación kmalloc-128 de 128 bytes (48 de cabecera + 80 de cuerpo). Los 80 bytes del atacante aterrizan en los offsets 48–127 del slot, y el puntero qdisc del drr_class liberado está en el offset 96 — dentro de ese rango. El exploit escribe ahí la dirección kernel del ring.
Construcción de la credencial falsa y ejecución
En la página del ring, Mythos Preview construye un bloque de bytes que el scheduler interpreta como un struct Qdisc y que commit_creds() interpretará momentos después como un struct cred.
Usa el primitivo de lectura para copiar byte a byte init_cred — la credencial de root incorporada del kernel, compilada en .data estático (tercera clase segura), con uid 0, gid 0 y todos los bits de capacidad activados. Luego parchea sólo dos campos:
- Offset 16: en
struct Qdisces un flags word — activa la flag que suprime unprintkque desreferencia campos no configurados. Enstruct credessuid, que nadie comprobará antes de la limpieza. - Offset 24: en
struct Qdiscesops— apunta a una tabla de operaciones falsa en otro slot del ring conpeek= dirección decommit_creds. Enstruct credes euid+egid empaquetados — basura, pero irrelevante antes de la limpieza.
El exploit envía un paquete por la interfaz que gestiona el DRR. El scheduler sigue su lista activa hasta el slot liberado+reclamado, lee ops del offset 24, llega a la tabla falsa, llama a ops->peek(qdisc). Lo que realmente ejecuta es commit_creds(fake_cred): el kernel reemplaza las credenciales del proceso con la copia de init_cred. El proceso es ahora root para el kernel. commit_creds devuelve cero, el scheduler lo interpreta como “no hay paquete listo”, comprueba la flag de offset 16 (preseteada), omite el log, y el syscall retorna normalmente.
Un único setuid(0) limpia los campos euid/suid que quedaron con basura de puntero, y execve lanza una shell. Coste: menos de 2.000 dólares y menos de un día de ejecución.
Recomendaciones para defensores
Anthropic cierra el informe con recomendaciones concretas para quienes no tienen acceso a Mythos Preview:
Usar los modelos actuales ya. Opus 4.6 y modelos equivalentes ya encuentran vulnerabilidades de severidad alta y crítica en prácticamente cualquier base de código donde se buscan: OSS-Fuzz, aplicaciones web, librerías de criptografía, el kernel de Linux. Mythos Preview encuentra más y más graves, pero quien no haya adoptado aún bug-finding asistido por modelos podría encontrar centenares de vulnerabilidades con herramientas disponibles hoy.
Ir más allá de la búsqueda de bugs. Los modelos actuales pueden acelerar: triaje y deduplicación de reportes, propuestas iniciales de parches, revisión de pull requests para detectar problemas de seguridad, análisis de configuraciones cloud, y migraciones desde sistemas legacy.
Acortar los ciclos de parcheo. Los exploits de N-day que se documentan en el informe se construyeron de forma completamente autónoma partiendo solo de un identificador CVE y un hash de commit — un proceso que históricamente llevaba días o semanas a un investigador experto. Esto significa que la ventana entre divulgación pública y explotación masiva se está comprimiendo drásticamente. Las organizaciones deberían habilitar auto-update donde sea posible, tratar los bumps de dependencias con CVEs como urgentes, y los distribuidores de software deberían plantearse si los ciclos de release actuales siguen siendo adecuados.
Revisar las políticas de divulgación. Los planes existentes para gestionar el descubrimiento ocasional de vulnerabilidades deberían actualizarse para contemplar el volumen que los modelos de lenguaje pueden pronto revelar.
Actualizar la estrategia de mitigación de vulnerabilidades. Si gestionas software legacy crítico, ahora es el momento de preparar contingencias fuera de lo habitual: ¿cómo responderás si se reporta una vulnerabilidad crítica en una aplicación cuyo desarrollador adquiriste pero ya no soportas? Hay que planificar cómo escalar el talento adecuado en estos casos.
Automatizar el pipeline técnico de respuesta a incidentes. A medida que el descubrimiento de vulnerabilidades se acelera, los equipos de detección y respuesta deben esperar un aumento equivalente de incidentes: más divulgaciones significan más intentos de ataque en la ventana entre divulgación y parche. Ningún programa de incident response puede escalar solo con personas. Los modelos deberían gestionar el trabajo técnico: triaje de alertas, resúmenes de eventos, priorización de lo que necesita revisión humana, y búsquedas proactivas en paralelo con investigaciones activas. Durante un incidente, pueden tomar notas, capturar artefactos, seguir líneas de investigación, y redactar el postmortem preliminar.
La estrategia defensiva: Project Glasswing
Ante este panorama, Anthropic ha optado por publicar el modelo inicialmente solo a un grupo limitado de partners industriales críticos y desarrolladores open source, con el objetivo explícito de que los defensores puedan empezar a asegurar los sistemas más importantes antes de que modelos con capacidades similares estén disponibles de forma amplia.
La empresa reconoce que el periodo de transición podría ser turbulento: históricamente, las herramientas de seguridad han acabado beneficiando más a los defensores que a los atacantes (como ocurrió con los fuzzers), pero la ventaja inicial puede ser para quien actúe primero.
El objetivo final es poder desplegar modelos de clase Mythos a escala de forma segura, pero para eso Anthropic necesita primero desarrollar salvaguardas de ciberseguridad que detecten y bloqueen sus outputs más peligrosos. Estas salvaguardas se lanzarán primero con un modelo Claude Opus próximo — lo suficientemente capaz para afinar las defensas, sin el mismo nivel de riesgo que Mythos Preview.
Conclusión: el equilibrio que llevamos veinte años construyendo
Anthropic cierra el informe con una frase de Linus Torvalds adaptada a la nueva realidad: “Dado suficientes ojos, todos los bugs son superficiales.” Los modelos de lenguaje tienen ahora los «eyeballs» necesarios, la memoria enciclopédica de todos los patrones de vulnerabilidad conocidos, y la capacidad de ser más exhaustivos y diligentes que cualquier humano.
Las técnicas que usa Mythos Preview — JIT heap sprays, ataques ROP, cross-cache reclaim — son primitivas bien conocidas. La novedad no está en que las inventa, sino en que las encadena de forma autónoma sobre vulnerabilidades que nadie había encontrado antes. Igual que la mayoría de los atacantes humanos no desarrollan técnicas nuevas, sino que reutilizan las conocidas.
Hace pocos meses, los modelos solo podían explotar vulnerabilidades poco sofisticadas. Unos meses antes, no podían identificar ninguna vulnerabilidad no trivial. La trayectoria es clara, y Anthropic no ve razón para que se detenga en Mythos Preview.
La última analogía que usa el informe es reveladora: la competición SHA-3 se lanzó en 2006 aún con SHA-2 intacto. El proceso de criptografía post-cuántica de NIST comenzó en 2016 sabiendo que los ordenadores cuánticos estaban a más de una década de distancia. Estamos a diez y veinte años de esos eventos. Y esta vez la amenaza no es hipotética.
Apéndice: compromisos criptográficos
Anthropic ha publicado hashes SHA-3 como compromisos criptográficos de las vulnerabilidades y exploits que aún no puede divulgar. Cuando los parches correspondientes estén disponibles (plazo máximo: 90 + 45 días tras notificar al afectado), sustituirán cada hash por el documento completo. La propiedad que garantiza el sistema es la resistencia a preimagen del SHA-3: imposible recuperar el contenido a partir del hash, e imposible que Anthropic publique ahora un valor y luego revele un documento diferente con el mismo hash.
| Categoría | Tipo | Hash SHA-3 |
|---|---|---|
| Exploit cadena navegadores | PoC | 5d314cca0ecf6b07547c85363c950fb6a3435ffae41af017a6f9e9f3 |
| Exploit cadena navegadores | PoC | be3f7d16d8b428530e323298e061a892ead0f0a02347397f16b468fe |
| Vulnerabilidad en VMM | PoC | b63304b28375c023abaa305e68f19f3f8ee14516dd463a72a2e30853 |
| Escalada privilegios Linux | Report | aab856123a5b555425d1538a37a2e6ca47655c300515ebfc55d238b0 |
| Escalada privilegios Linux | PoC | aa4aff220c5011ee4b262c05faed7e0424d249353c336048af0f2375 |
| Escalada privilegios Linux | Report | b23662d05f96e922b01ba37a9d70c2be7c41ee405f562c99e1f9e7d5 |
| Escalada privilegios Linux | PoC | c2e3da6e85be2aa7011ca21698bb66593054f2e71a4d583728ad1615 |
| Escalada privilegios Linux | Report | c1aa12b01a4851722ba4ce89594efd7983b96fee81643a912f37125b |
| Escalada privilegios Linux | PoC | 6114e52cc9792769907cf82c9733e58d632b96533819d4365d582b03 |
| Bypass bloqueo pantalla smartphone | PoC | f4adbc142bf534b9c514b5fe88d532124842f1dfb40032c982781650 |
| DoS remoto sistema operativo | PoC | d4f233395dc386ef722be4d7d4803f2802885abc4f1b45d370dc9f97 |
| Vulnerabilidades librerías criptografía | Report | 8af3a08357a6bc9cdd5b42e7c5885f0bb804f723aafad0d9f99e5537 |
| Vulnerabilidades librerías criptografía | Report | 05fe117f9278cae788601bca74a05d48251eefed8e6d7d3dc3dd50e0 |
| Vulnerabilidades librerías criptografía | Report | eead5195d761aad2f6dc8e4e1b56c4161531439fad524478b7c7158b |
| Bug lógico kernel Linux | Report | 4fa6abd24d24a0e2afda47f29244720fee33025be48f48de946e3d27 |
Referencias: