Anthropic divendres va revelar que el Projecte Glasswing ha ajudat a descobrir més de 10.000 vulnerabilitats d’alta o crítica gravetat en alguns dels programes més importants «sistèmicament» del món des que la iniciativa de ciberseguretat es va posar en marxa el mes passat.

El Projecte Glasswing és un esforç defensiu llançat per l’empresa d’intel·ligència artificial (IA) per assegurar una infraestructura de programari global crítica. Atorga a un petit conjunt d’uns 50 socis accés exclusiu i anticipat a Claude Mythos Preview, un model de frontera amb capacitats per identificar de forma autònoma vulnerabilitats en programari àmpliament utilitzat abans que els malfactors les puguin explotar.

D’aquestes vulnerabilitats, 6.202 s’han classificat com a defectes de gravetat alta o crítica que afecten més de 1.000 projectes de codi obert. L’anàlisi posterior d’aquests candidats a vulnerabilitats ha identificat que 1.726 són veritables positius vàlids. Fins a 1.094 defectes s’avaluen com de gravetat alta o crítica.

Una de les debilitats identificades és un defecte crític en WolfSSL (CVE-2026-5194, puntuació CVSS: 9.1) que podria permetre que un atacant falsifiqués certificats i fer-se passar per un servei legítim. En total, aquests esforços han donat lloc a la correcció de 97 troballes upstream i a l’emissió de 88 avisos.

«La facilitat relativa de trobar vulnerabilitats en comparació amb la dificultat de solucionar-les representa un repte important per a la ciberseguretat», va reconèixer Anthropic. «Afrontar aquest repte amb èxit farà que el nostre programari sigui molt més segur que abans.»

El desenvolupament arriba a mesura que els proveïdors de programari estan enviant més correccions que mai, impulsat per un augment en el descobriment de vulnerabilitats assistit per IA; a més, Microsoft assenyala que el nombre de pegats nous que espera publicar mensualment «continuarà tenint una tendència creixent durant un temps.»

La plataforma autònoma de seguretat ofensiva XBOW descriu Mythos Preview com «un gran avenç» que és «substancialment millor que els models anteriors a l’hora de trobar candidats a vulnerabilitats» i «hàbil en l’anàlisi del codi font amb una mentalitat de seguretat.» Anàlisis recents també han descobert que el model destaca per convertir vulnerabilitats en cadenes d’atac de punta a punta.

La utilitat de Mythos Preview, va afegir Anthropic, va més enllà de trobar fallades de seguretat. En un cas, es diu que un banc associat a Glasswing va aprofitar el model d’IA per detectar i prevenir una transferència bancària fraudulenta d’1,5 milions de dòlars després que un actor amenaçador desconegut violés el compte de correu electrònic d’un client i fes trucades telefòniques falses.

Atès que models amb capacitats similars a Mythos podrien estar disponibles àmpliament en un futur pròxim, Anthropic insta els desenvolupadors de programari a escurçar els seus cicles de pedaços i posar a disposició les correccions de seguretat com més aviat millor. Val la pena esmentar aquí que Oracle ha canviat recentment a un cicle mensual de pedaços per abordar problemes crítics de seguretat.

«Els defensors de la xarxa haurien d’escurçar els seus terminis de proves de pedaços i desplegament», va dir Anthropic. «Això inclou mesures com ara endurir les configuracions predeterminades de les xarxes, aplicar l’autenticació multifactor i mantenir registres complets per a la detecció i la resposta.»

L’empresa d’IA també va dir que ha llançat un Programa de verificació cibernètica que permet que els professionals de la seguretat facin servir els seus models sense barreres de seguretat per a finalitats legítimes, com ara la investigació de vulnerabilitats, les proves de penetració i la creació d’equips vermells. Això és similar a l’OpenAI’s Daybreak, que també permet que els defensors s’aprofitin de GPT-5.5-Cibernètic per a fluxos de treball especialitzats.

Models com ara Mythos Preview i GPT-5.5-Cyber ​​encara no s’han publicat a causa de la preocupació pel fet que actualment no hi ha garanties adequades per evitar el seu mal ús a gran escala.

«Glasswing ajuda els ciberdefensors sistèmicament més importants a obtenir un avantatge asimètric», va assenyalar. «No obstant això, hi ha una necessitat urgent que el màxim nombre d’organitzacions possible reforcin les seves ciberdefenses. Esperem que els nostres models generalment disponibles, i les noves eines, recursos i recerques que proporcionem per acompanyar-los, ajudin aquestes organitzacions a millorar la seva postura pel que fa a la ciberseguretat.»