Seguro que ya has escuchado hablar de Claude Mythos. A finales de abril de 2026 cayó como una bomba en el sector, poniendo patas arriba lo que hasta ahora se consideraba como IA potente.
Anthropic anunció que su nuevo modelo, Claude Mythos, era tan «peligrosamente bueno» encontrando fallos de seguridad que no podían lanzarlo al público todavía. De ahí que solo unas pocas empresas tendrían acceso controlado para parchear los problemas que encontrasen antes de que el resto del mundo pudiera probarlo.
Literalmente, parecía el principio del fin de la ciberseguridad tal y como la conocemos, pero Daniel Stenberg, el hombre detrás de cURL, tiene una visión más centrada en la realidad.
Para aquellos que no le conozcan, es el creador de una de las herramientas más usadas en el mundo. Se ha instalado más de 20.000 millones de veces en todo tipo de móviles y dispositivos de gran calado. De ahí que Anthropic le tuviese en cuenta para poner a prueba Mythos.
A través de la Linux Foundation, se le ofreció pasar por el ojo de Mythos las 178.000 líneas de código en lenguaje C que forman cURL. Tras semanas de retrasos, el informe llegó y el resultado fue, cuanto menos, nada esperado: el modelo que, supuestamente, iba a romper Internet se quedó en un análisis correcto, normal como otro cualquiera, pero lejos de ser la revolución que la compañía vendió.
Para poner un poco más de contexto, cURL es probablemente uno de los proyectos más auditados del planeta. Ha pasado por análisis y revisiones de seguridad profesionales durante años. Por eso, cuando Mythos afirmaba haber encontrado cinco vulnerabilidades, el equipo de Stenberg sospechó.
Tras horas de análisis humano, la lista se redujo a una sola vulnerabilidad real de severidad baja. Las otras cuatro eran falsos positivos o errores que de poco servían a los ciberdelincuentes.
«El gran revuelo en torno a este modelo hasta ahora fue principalmente marketing. No veo ninguna evidencia de que esta configuración detecte problemas con mayor precisión o agudeza que las herramientas anteriores a Mythos. Quizás este modelo sea un poco mejor, pero incluso si lo es, no lo suficiente como para marcar una diferencia significativa en el análisis de código», comenta Stenberg.
Aunque reconoce que Mythos es una herramienta potente, no ha encontrado nada que otros modelos de OpenAI o herramientas como AISLE o Zeropath no hubieran detectado ya en los meses anteriores. De hecho, estas otras ya habían ayudado a meter cientos de parches en cURL antes de que Mythos apareciese. Para él, el peligro del que hablaba Anthropic parece ser más una estrategia de ventas que una realidad.
Para Daniel Stenberg todo es marketing y no, Mythos no es el demonio del código que prometían
El problema es que están surgiendo todo tipo de informes que dejan claro el potencial de esta herramienta de IA. Para él, muchos de ellos son solo ruido.
Tal y como afirma, las capacidades de Mythos no son cosa de magia o un potencial sobrenatural; es simplemente una capacidad de lectura masiva y contextual que, si bien es realmente buena, no justifica el pánico generalizado que se está tratando de crear en el mundo.
Pese a todo esto, Stenberg defiende a capa y espada el uso de estas tecnologías. «Permítanme recalcar y reiterar lo que ya he dicho: los analizadores de código con IA son significativamente mejores para encontrar fallos de seguridad y errores en el código fuente que cualquier analizador de código tradicional del pasado. Todos los modelos de IA modernos son buenos en esto ahora», afirma.
«No usar analizadores de código con IA en su proyecto significa darles a los adversarios y atacantes tiempo y oportunidad para encontrar y explotar los fallos que usted no detecta», añade.
Con esto, deja claro que, en este caso, cURL es seguro no porque una IA lo diga, sino porque cientos de humanos llevan décadas centrados en la calidad. El hype de Anthropic es más humo que realidad, pero también es cierto que ha servido para poner el foco en la seguridad de las compañías.
Deja una respuesta