Anthropic restrictió su IA más peligrosa y horas después un contratista la filtró: así fue el acceso no autorizado a Claude Mythos Preview

El 21 de abril, Anthropic presentó Claude Mythos Preview como un modelo tan eficaz encontrando vulnerabilidades de software que representaba un riesgo directo si caía en manos equivocadas. La empresa decidió reservarlo para Project Glasswing, un círculo cerrado que integraba a Amazon, Apple, Google, Microsoft, Nvidia, JPMorgan, Palo Alto Networks, CrowdStrike y una docena de gigantes tecnológicos y financieros. La decisión comunicaba una narrativa de responsabilidad: había que proteger ese poder, no liberarlo.

Horas después del anuncio, Bloomberg reveló que Mythos ya estaba en manos no autorizadas. El vector de acceso no fue un ataque sofisticado ni una operación de inteligencia estatal. Fue más simple y más incómodo: credenciales comprometidas de un trabajador que pertenecía a un contratista tercerizado de la propia Anthropic, combinadas con técnicas conocidas de investigación en seguridad. La empresa confirmó a TechCrunch que investiga el incidente y aclaró que, hasta ese momento, no hay evidencia de impacto en sus sistemas internos.

El incidente expone una fricción estructural en el modelo de seguridad por restricciones de acceso: cuando el acceso se concentra en un grupo cerrado, la cadena de confianza se extiende más allá de los muros de la empresa. El eslabón más débil fue un tercero, no un adversario externo. Anthropic no mencionó la palabra "contratista" en su comunicado oficial. Lo que sí reconoció es que el incidente está bajo investigación. El riesgo inmediato no es una liberación masiva del modelo, sino el uso no autorizado por parte de los usuarios que lograron acceder antes de que se detectara la brecha.