00:00:00Como desarrollador de software y supongo que en general como ser humano, pero sobre todo como desarrollador,
00:00:06no hay forma de evitar a Anthropic en este momento. Lo quieras o no. Y no creo que debas intentar
00:00:12ignorarlo porque es relevante. Es relevante para nuestro futuro como desarrolladores de software, diría yo.
00:00:20Y en este episodio no hablaré de la filtración del código de Claude que tuvimos la semana pasada. No hablaré de
00:00:28sus términos reforzados respecto al uso de sus ofertas de suscripción, Claude Max y demás,
00:00:36y cómo están restringiendo el uso no autorizado de esas suscripciones. Lo están haciendo ahora mismo
00:00:43porque, por supuesto, sus ofertas de suscripción, al igual que las de OpenAI, están muy subvencionadas,
00:00:50y no pueden ganar dinero si todo el mundo exprime sus suscripciones al máximo. Así que, sí, realmente
00:00:56están limitando o intentando limitar el uso de sus suscripciones solo a humanos, solo en su
00:01:04sitio web o en Claude Code o en la aplicación de escritorio de Claude, supongo. Pero bueno, de nuevo, este no es el foco
00:01:11aquí, y ni siquiera me centraré en su impresionante crecimiento de ingresos, aunque vale la pena mencionarlo brevemente,
00:01:19porque Anthropic ha alcanzado unos ingresos recurrentes anuales de 30 mil millones de dólares, lo cual ya es
00:01:27impresionante, pero sobre todo si lo comparas con los 9 mil millones de dólares a finales de 2025. Así que
00:01:35más que triplicaron sus ingresos recurrentes anuales en solo unos pocos meses. Lo cual es
00:01:41realmente impresionante. Y, por lo tanto, por supuesto, si quieres aprender a usar eficientemente Claude Code,
00:01:47cómo sacarle el máximo provecho, tengo un curso sobre ello y también es muy popular, lo cual,
00:01:53por supuesto, me alegra, y encontrarás un enlace abajo si quieres unirte y aprender a trabajar de forma eficiente con
00:01:59Claude Code. Pero como mencioné, ese no es el tema principal aquí. En su lugar, quiero hablar de
00:02:05Project Glasswing y su nuevo modelo Mythos, que no han lanzado al público y
00:02:14también compartieron por qué. Y creo que esto es importante de entender y también es importante intentar
00:02:20mirar entre bastidores, tras su lógica y cuál es el impacto de este nuevo modelo, cómo funciona
00:02:27y sus capacidades para nosotros los desarrolladores. Entonces, ¿qué es Project Glasswing? ¿De qué trata su nuevo modelo?
00:02:33Abajo, por supuesto, también encontrarás un enlace a este artículo. Es un artículo en el sitio oficial de
00:02:39Anthropic donde anunciaron Project Glasswing y también hablan de su nuevo modelo.
00:02:44Y si bajo un poco, ya podemos ver aquí algunas estadísticas resumen de los benchmarks donde vemos
00:02:52que este nuevo modelo, la versión de vista previa de Mythos (el nombre del modelo es Mythos), rinde
00:02:59mucho mejor que Opus 4.6. Y dependiendo de en qué benchmark exacto te fijes, hay una diferencia
00:03:07bastante grande entre Opus 4.6 y este nuevo modelo. Ahora bien, esto por sí solo no es súper
00:03:15impresionante. Cada vez que se anuncia un nuevo modelo, sea de la empresa que sea, rinde mucho mejor o
00:03:21al menos un poquito mejor que todos los modelos de la competencia; de lo contrario, no se lanzaría. Y, por
00:03:26supuesto, hay formas de manipular algunos de estos benchmarks, así que normalmente no me importan demasiado
00:03:31esos números de benchmark y eso no sería diferente para este modelo de aquí, pero
00:03:39hay cosas interesantes sobre el nuevo modelo Mythos. Y es el hecho de que Anthropic decidió no
00:03:46lanzarlo al público porque, como dicen, es demasiado bueno encontrando y explotando vulnerabilidades
00:03:56en sistemas operativos, cualquier otro software, navegadores... realmente en el software en general. Y en este artículo
00:04:05y también en un artículo separado que también está enlazado abajo, comparten algunos detalles y, especialmente, este
00:04:11artículo separado es extremadamente largo y da ejemplos concretos de vulnerabilidades y
00:04:19posibles exploits que este nuevo modelo encontró. Por ejemplo, comienzan este artículo con un
00:04:28exploit y vulnerabilidad muy serios que se encontraron en OpenBSD. OpenBSD es, por supuesto, un sistema operativo
00:04:38que es popular en ciertas piezas de software de redes, por ejemplo, y Mythos, su nuevo modelo,
00:04:45ejecutándose en un entorno agéntico como Claude Code, supongo, fue capaz de encontrar y explotar, y esa es la
00:04:53parte interesante, una vulnerabilidad relacionada con el desbordamiento de enteros y el acceso a memoria, un acceso
00:05:02inesperado a memoria, que fue capaz de colgar máquinas que ejecutaban OpenBSD de forma reproducible, lo cual
00:05:12podría, por supuesto, aprovecharse para realizar ataques de denegación de servicio muy dañinos enviando repetidamente
00:05:20paquetes y peticiones específicos a dichas máquinas, explotando esa vulnerabilidad para derribar
00:05:27esas máquinas y potencialmente derribar redes corporativas enteras; y esta vulnerabilidad fue
00:05:34detectada en una ejecución que costó menos de cincuenta dólares, aunque el conjunto total de ejecuciones costó menos de veinte
00:05:43mil dólares, y como, por supuesto, no sabes de antemano qué ejecución encontrará una vulnerabilidad,
00:05:48ese es el número que importa. Aun así, es fácil imaginar que un modelo capaz de encontrar
00:05:57vulnerabilidades tan críticas por un coste comparativamente bajo, dependiendo de quién seas,
00:06:04si eres una nación, por ejemplo, o algún actor malintencionado serio, eso puede no ser mucho dinero para ti,
00:06:13y eso, por supuesto, es un problema porque es fácil imaginar que si tal modelo fuera desarrollado por
00:06:22una empresa u organización que se preocupe un poco menos por la seguridad y/o que quizá no tenga que
00:06:31temer ninguna consecuencia por abusar de tales vulnerabilidades, esto podría ser un problema y
00:06:42parece que estamos entrando en una nueva era con la IA, con estos modelos de IA donde nada es seguro
00:06:56y es más fácil que nunca desplegar masivamente agentes de IA ejecutando modelos como este para escanear todo tipo de
00:07:05piezas de software y encontrar y potencialmente explotar vulnerabilidades y, por supuesto, como humano por tu
00:07:13cuenta, no hay forma de mantenerse al día con ello; quiero decir, el fallo, el exploit que se encontró aquí existía
00:07:19desde hace, creo que dijeron 27 años o algo así; esto demuestra que ningún humano fue capaz de encontrar
00:07:29este error en un periodo de tiempo tan largo, incluyendo actores maliciosos que, por supuesto, habrían tenido
00:07:35interés en poder atacar este sistema operativo en el pasado también. Ahora bien, este es solo uno,
00:07:41quizá el hallazgo más destacado que tuvo este nuevo modelo; están enumerando muchos más fallos y exploits
00:07:49que el modelo encontró y a veces también pudo abusar, y también compartieron otras historias en X, por
00:07:57ejemplo, sobre el modelo siendo capaz de escapar de un sandbox o el agente de IA que ejecutaba el modelo siendo
00:08:04capaz de escapar de un sandbox en el que se estaba ejecutando, y eso nos devuelve a Project Glasswing, que
00:08:11es una iniciativa creada por Anthropic junto con otras grandes empresas como AWS, Apple, Microsoft,
00:08:21la Linux Foundation y otras para usar este modelo para básicamente parchear su software antes de que esto
00:08:30se publique oficialmente y antes de que el público ponga sus manos en este modelo; esa es la narrativa
00:08:38de este artículo, esa es la explicación de Anthropic y tengo sentimientos encontrados aquí. Por un lado,
00:08:48no tengo ninguna razón de peso para creer que esto no sea cierto; claramente Anthropic tendría algunas razones para
00:08:56no lanzar este modelo más allá de lo que mencionan aquí; por ejemplo, leí que este
00:09:04modelo es un modelo de aproximadamente 10 billones de parámetros, que es mucho más grande que todos los modelos de frontera
00:09:11que hemos tenido hasta ahora y que hemos podido usar públicamente, y se dice que entrenarlo costó
00:09:20alrededor de 10 mil millones de dólares; el coste por token de este modelo, según leí, se espera que esté en este rango,
00:09:3025 dólares, 125 dólares por tokens de entrada y salida, y por supuesto eso también serían razones para no
00:09:39lanzar este modelo porque no pueden incluirlo en sus suscripciones de Claude porque es simplemente demasiado
00:09:46caro; tendrían que aumentar el precio de la suscripción probablemente a un punto de precio que no mucha
00:09:52gente esté dispuesta a pagar y, por lo tanto, no habría realmente una forma de exponerlo al
00:09:59público, al menos como parte de Claude Code. Ahora bien, por supuesto, aún podrían exponerlo a través de su API con un
00:10:05coste de pago por uso, y si es caro ¿a quién le importa?, si hay empresas o personas que estarían
00:10:12dispuestas a pagarlo, podrían hacerlo, y ahí es, por supuesto, donde las preocupaciones de ciberseguridad
00:10:18podrían realmente entrar en juego porque, claramente, todo eso es muy probable que no sea inventado; quiero decir, definitivamente
00:10:26no es inventado; el equipo de FFmpeg, por ejemplo, que también aparece aquí como una
00:10:36vulnerabilidad que fueron capaces de encontrar en FFmpeg; el equipo confirmó en X que Anthropic envió
00:10:44envió un parche para una vulnerabilidad en el programa de software FFmpeg, así que sí, esto claramente no es
00:10:55inventado; estas preocupaciones son válidas, las preocupaciones de ciberseguridad son válidas, especialmente porque, por supuesto, si el dinero
00:11:03no es el problema principal, podrías desplegar miles de agentes ejecutándose simultáneamente usando este o modelos
00:11:11similares que podamos tener en el futuro para escanear todo tipo de software y explotarlos y, por supuesto,
00:11:19el gran problema es que usar este modelo para encontrar vulnerabilidades y parchearlas es posible, pero
00:11:30solo es posible si el propietario o el mantenedor de cierta pieza de software puede permitirse el modelo
00:11:37o recibe acceso gratuito o algo así; e incluso si se parchea una vulnerabilidad, todos sabemos
00:11:46que no todos los ordenadores que hay ahí fuera, no todas las máquinas, no todos los usuarios tienen software actualizado
00:11:55en ellos; si echaras un vistazo a todos los diversos servidores que funcionan por ahí en la red mundial,
00:12:04apostaría a que la gran mayoría de ellos está ejecutando software desactualizado; quiero decir, en nuestros teléfonos o
00:12:12portátiles a menudo no estamos ejecutando el software más reciente, la versión más reciente de nuestro sistema operativo, el
00:12:20último parche de seguridad puede no estar instalado y eso es cierto para todas las capas de software, y en un mundo
00:12:28donde es más fácil que nunca encontrar vulnerabilidades de seguridad, eso, por supuesto, se convierte en un problema
00:12:34aún mayor porque, por supuesto, lo bueno de este modelo de IA es que también se puede usar para
00:12:43buscar proactivamente vulnerabilidades de seguridad y parchearlas, así que no es solo una herramienta para
00:12:48atacantes; también puede facilitar la defensa porque ahora tienes una herramienta que se puede ejecutar simultáneamente
00:12:56en paralelo a través de miles de agentes para asegurar tu software; en teoría, esto puede ser una
00:13:01herramienta muy útil para la defensa, pero por supuesto, de nuevo, no toda empresa o persona que pueda estar desarrollando
00:13:09software crucial podrá permitírselo o estará interesada en usarlo, e incluso si se usa
00:13:16para encontrar y parchear vulnerabilidades, aun así estas últimas versiones no estarán instaladas en todas partes
00:13:23y eso, por supuesto, da a los atacantes una buena ventana de oportunidad donde conocen muchísimas más
00:13:31vulnerabilidades que antes en algún punto porque se detectan muchas más, pero no todas las
00:13:39máquinas o usuarios están protegidos contra esas vulnerabilidades, y esa es una preocupación real
00:13:46que tengo sobre este desarrollo. Ahora bien, esa es la imagen general que afecta a todos,
00:13:52a todas las empresas, a todos los humanos al final; otra pregunta, por supuesto, es qué significa un modelo como
00:13:59este para nosotros los desarrolladores; quiero decir, claramente este parece ser un modelo altamente capaz que fue capaz
00:14:08de buscar vulnerabilidades por su cuenta y explotar vulnerabilidades por su cuenta, así que sí, ¿cuál es el
00:14:16impacto para los desarrolladores? Y creo que aquí, en cuanto a eso, no cambia mucho por ahora; quiero decir,
00:14:28ya estamos viviendo en un mundo donde agentes de IA como Claude Code y los modelos subyacentes y,
00:14:34por supuesto, lo mismo ocurre con Codex y demás, sea cual sea tu agente y modelo de IA favorito,
00:14:39son capaces de generar la mayor parte de nuestro código; puede que no los uses, puede que no te gusten; creé un
00:14:46video aparte donde comparto mis sentimientos sobre eso y cómo esto le quita la alegría a la parte del
00:14:52desarrollo de software para mí, pero es la realidad de todos modos, te guste o no, y
00:14:57créeme que no necesariamente me gusta, pero sí, esta es la realidad de todos modos; lo que un humano aporta
00:15:04o por qué los humanos aún importan aquí y pueden importar más que nunca es, por supuesto, que
00:15:12definitivamente no quieres que un agente de IA como este se descontrole y trabaje totalmente por su cuenta; dirigir tales
00:15:21modelos y agentes, controlarlos, darles tareas claras, limitar el alcance del trabajo que hacen,
00:15:29todas estas cosas son más importantes que nunca; estos modelos pueden, según parece, hacer mucho más de lo que
00:15:39la gran mayoría de desarrolladores puede hacer, definitivamente mucho más de lo que yo puedo hacer,
00:15:43y sin embargo, cuando se trata de lanzar productos, cuando se trata de construir software utilizado por humanos, la
00:15:54influencia de un humano es, por supuesto, extremadamente, extremadamente importante. Lo que está cambiando, por supuesto,
00:16:01es nuestro papel como desarrolladores de software; estamos pasando de ser las personas que escriben el código a ser las
00:16:08personas que dirigen el modelo, que revisan el código, que entienden lo
00:16:12que hace, que establecen el alcance y, sí, de nuevo, hablé de esto en aquel otro video, de cómo
00:16:18está cambiando y que esto puede no ser necesariamente lo que a uno le gusta; definitivamente no es
00:16:26por lo que me metí en el desarrollo de software en primer lugar, pero sí, este es el impacto aquí y
00:16:31cuanto más capaces se vuelven estos modelos, más importante creo que es tener esa voz humana
00:16:39ahí también, esa influencia humana ahí también, así que ese es ese papel cambiante y
00:16:48nuestro papel en el futuro; pero sí, quiero decir, estos son desarrollos realmente interesantes y, especialmente,
00:16:58este modelo y sus implicaciones y esa relevancia en ciberseguridad que tiene
00:17:04hace pensar qué habría pasado o qué pasaría si otros actores, otras naciones u
00:17:16organizaciones en el mundo ponen sus manos en este modelo o en modelos que sean similares en capacidad,
00:17:23porque por supuesto es solo cuestión de tiempo hasta que modelos con capacidades similares sean accesibles
00:17:33para el público o ciertamente al menos para otras naciones y actores; y sí, no estoy seguro de si
00:17:44estamos preparados para esa nueva carrera en ciberseguridad y ese retraso entre que se encuentran los errores
00:17:52y se parchean y la gente instala esos parches; creo que entraremos en una nueva era de la ciberseguridad
00:18:00y seremos capaces de ajustarnos, estoy seguro, pero esto definitivamente marca un punto interesante
00:18:08en la historia del desarrollo de modelos, diría yo.