Anthropic creó una IA tan poderosa que decidió no lanzarla al público

El modelo que Anthropic no quiere que uses

En el mundo de la inteligencia artificial, estamos acostumbrados a los lanzamientos espectaculares: modelos cada vez más grandes, más rápidos, más capaces. Pero Anthropic, la empresa detrás de Claude, acaba de hacer algo que nadie esperaba: construir un modelo de IA tan poderoso que decidió no lanzarlo al público.

Se llama Mythos, y lo que descubrió durante sus pruebas internas ha sacudido los cimientos de la industria.

Fuente: Unsplash

¿Qué es Mythos y por qué es diferente?

Mythos no es simplemente un modelo de lenguaje más grande. Según los reportes internos filtrados, se trata de un sistema de IA diseñado específicamente para análisis profundo de código y razonamiento sobre sistemas complejos. A diferencia de sus predecesores, Mythos fue entrenado con un enfoque particular en:

• Comprensión estructural de software: puede analizar bases de código completas, no solo fragmentos aislados
• Razonamiento adversarial: piensa como un atacante, identificando vectores de explotación que los humanos pasan por alto
• Correlación cruzada: conecta vulnerabilidades entre diferentes bibliotecas y frameworks para encontrar cadenas de ataque compuestas
• Generación de exploits: no solo encuentra los problemas, sino que demuestra cómo explotarlos con pruebas de concepto funcionales

Fuente: Unsplash

Los números que asustaron a Anthropic

Durante las pruebas internas, Mythos fue alimentado con el código fuente de algunas de las bibliotecas y aplicaciones más utilizadas del mundo. Los resultados fueron, en palabras de un ingeniero de Anthropic, "aterradores":

¿Por qué Anthropic decidió no lanzarlo?

La decisión de Anthropic de restringir Mythos no fue impulsiva. La empresa estableció lo que llama un "umbral de capacidad peligrosa" (Dangerous Capability Threshold, DCT) en su política de seguridad. Si un modelo supera ese umbral, el protocolo exige una de tres acciones:

1. Restricción total: el modelo no se lanza en ninguna forma
2. Acceso controlado: disponible solo para investigadores y organizaciones verificadas
3. Lanzamiento con guardrails: acceso público con limitaciones técnicas severas

Mythos activó el nivel 2: acceso controlado. Solo un puñado de empresas de ciberseguridad y agencias gubernamentales tienen acceso bajo acuerdos estrictos de confidencialidad.

Dario Amodei, CEO de Anthropic, declaró: "Hay una diferencia entre construir algo poderoso y lanzar algo poderoso. Nuestra responsabilidad no termina cuando el modelo funciona — empieza ahí."

Las implicaciones para la industria del software

El caso de Mythos plantea preguntas incómodas para toda la industria tecnológica:

Para los desarrolladores

• Si una IA puede encontrar miles de vulnerabilidades en horas, ¿cuántas existen en tu código ahora mismo?
• Las prácticas actuales de seguridad en el desarrollo (SAST, DAST, penetration testing) podrían ser insuficientes ante IA adversarial
• La deuda técnica de seguridad acumulada durante décadas podría quedar expuesta de golpe

Para las empresas de IA

• ¿Quién decide qué es "demasiado poderoso" para lanzar?
• ¿Debería existir un organismo regulador internacional que evalúe modelos antes de su lanzamiento?
• El precedente de Mythos podría obligar a otras empresas de IA a implementar umbrales similares

El debate sobre la divulgación responsable

Uno de los aspectos más controversiales del caso Mythos es cómo manejar las vulnerabilidades descubiertas. Anthropic adoptó un enfoque de divulgación coordinada:

• Notificó a los mantenedores de los proyectos afectados antes de hacer pública la existencia de Mythos
• Proporcionó parches sugeridos generados por el propio modelo para las vulnerabilidades más críticas
• Estableció un plazo de 90 días para que los desarrolladores implementen correcciones antes de divulgar detalles
• Colaboró con CERT/CC y agencias de ciberseguridad nacionales para priorizar las vulnerabilidades según su impacto

Sin embargo, no todos están de acuerdo con esta estrategia. Algunos investigadores de seguridad argumentan que Anthropic debería haber publicado todas las vulnerabilidades inmediatamente para que la comunidad pudiera protegerse. Otros creen que ni siquiera debería haber construido un modelo con estas capacidades.

¿Qué sigue para Mythos y la IA de seguridad?

El caso de Mythos marca un antes y un después en la relación entre IA y ciberseguridad. Las posibles trayectorias incluyen:

• IA defensiva obligatoria: las empresas podrían verse obligadas a usar herramientas de IA similares para auditar su propio código
• Regulación de modelos ofensivos: gobiernos podrían clasificar modelos como Mythos bajo las mismas regulaciones que las armas cibernéticas
• Carrera armamentista IA vs IA: si Anthropic pudo construir Mythos, otros laboratorios también podrían, sin las mismas restricciones éticas
• Estándar de la industria: el DCT de Anthropic podría convertirse en un estándar adoptado por toda la industria de IA

Relación con el panorama regulatorio actual

Este caso no ocurre en un vacío. Varios gobiernos y estados ya están tomando medidas para regular la IA avanzada. En Estados Unidos, California ha emitido una orden ejecutiva sobre regulación de IA en 2026 que podría afectar directamente cómo empresas como Anthropic manejan modelos de alto riesgo. El caso de Mythos podría acelerar legislación federal que establezca marcos legales claros para la evaluación y restricción de modelos con capacidades peligrosas.

Fuentes y referencias

• Anthropic — Responsible Scaling Policy
• Anthropic — Newsroom
• MITRE — Informes de ciberseguridad
• HackerOne — Annual Security Report 2025
• IBM — Cost of a Data Breach Report