Un equipo de investigadores de seguridad que participaba en el programa público de recompensas de Anthropic logró acceder de forma no autorizada a Mythos, el sistema operativo interno que controla el entrenamiento y despliegue de los modelos Claude. El incidente, que Anthropic califica como una violación del alcance acordado en el programa de bug bounty, ha generado preocupación sobre la segregación entre sistemas internos y externos.

Los investigadores explotaron una cadena de vulnerabilidades que les permitió escalar privilegios desde una cuenta de prueba hasta el núcleo operativo de los entornos de producción. La compañía indica que no se extrajeron datos de usuarios finales y que ningún modelo entrenado fue comprometido, pero reconoce que el acceso interno no autorizado representa una brecha de seguridad significativa.

Tras el descubrimiento, Anthropic suspendió inmediatamente su programa de recompensas públicas y ordenó una auditoría independiente de todos los sistemas tocados por los investigadores. La empresa indicó en un comunicado que colaborará con las autoridades competentes y que reforzó los controles de acceso como medida preventiva.

Este tipo de incidentes plantea interrogantes sobre la práctica creciente de abrir programas de seguridad que dan acceso a sistemas críticos. Para empresas latinoamericanas que consideran adoptar herramientas de IA de proveedores extranjeros, casos como este recuerdan la importancia de evaluar no solo el rendimiento de los modelos, sino también la madurez de sus prácticas de seguridad.