Glasswing: cuando la IA se pone de parte de los buenos.

Hay una frase que resume bastante bien lo que acaba de anunciar Anthropic: “encontremos los agujeros antes de que los encuentren ellos”. El “ellos” son los ciberdelincuentes, los estados hostiles, y todo aquel que busca colarse por las grietas del software que usamos todos los días sin saberlo.

El proyecto se llama Glasswing, y la idea es tan sencilla como inquietante: reunir a doce de las empresas tecnológicas más grandes del planeta — Amazon, Apple, Google, Microsoft, NVIDIA, entre otras — y darles acceso a un modelo de inteligencia artificial llamado Claude Mythos para que escanee el software crítico mundial en busca de vulnerabilidades.

¿Qué tipo de vulnerabilidades? Las que llevan décadas ahí, escondidas en el código de los sistemas operativos que usas, de los navegadores con los que lees esto, de la infraestructura que mueve el dinero y los datos de medio mundo. Fallos que millones de pruebas automatizadas no habían encontrado. Mythos los encuentra.

¿Cómo de bueno es? El modelo alcanza un 83% en evaluaciones de ciberseguridad. El anterior récord rondaba el 66%. En este campo, esa diferencia no es una mejora incremental — es otro nivel.

Y aquí viene la parte que a mucha gente le genera vértigo: este modelo ya es mejor que los mejores expertos humanos encontrando y explotando fallos de seguridad. Anthropic lo dice sin ambages. Lo cual plantea una pregunta obvia.

¿No es peligroso crear una IA así?

Es la pregunta correcta. Y la respuesta honesta es: depende de quién la controle y con qué intención. Anthropic ha optado por el enfoque de “mejor nosotros que otros” — desarrollar estas capacidades de forma controlada, con socios auditados, con 90 días de plazo para publicar resultados, y con 100 millones de dólares en créditos para que organizaciones de código abierto también puedan beneficiarse.

Es un argumento razonable. No es el único argumento posible, pero es razonable.

Y aquí es donde Glasswing va más allá de ser un simple proyecto técnico. Su propósito no es solo encontrar vulnerabilidades — es establecer un perímetro de control sobre quién puede usar Mythos y para qué. Acceso restringido a socios auditados, uso supervisado, resultados públicos en 90 días. Un intento deliberado de que una herramienta con ese potencial destructivo no acabe en manos equivocadas. O al menos, de que no acabe fácilmente.

Lo que sí es innegable es que el software que usamos a diario tiene agujeros. Muchos. Y hasta ahora los encontraban principalmente los que querían explotarlos. Que la balanza empiece a inclinarse hacia el otro lado no parece mala noticia.

Aunque, como siempre con la IA, el diablo está en los detalles. Y en quién tiene acceso a Mythos cuando nadie mira.