La Linux Foundation ha decidido poner el foco en uno de los colectivos más desbordados y menos visibles del ecosistema tecnológico: los mantenedores de software open source. Su mensaje es claro y, al mismo tiempo, inquietante. Los nuevos modelos de Inteligencia Artificial no solo escriben mejor código, también están empezando a encontrar vulnerabilidades inéditas con una eficacia que puede alterar el equilibrio de la ciberseguridad. Y si esa capacidad acaba primero en manos ofensivas, el software abierto —que sostiene buena parte de la infraestructura digital del mundo— puede entrar en una etapa especialmente delicada.
Para responder a ese riesgo, la Linux Foundation se ha sumado a Project Glasswing, la iniciativa impulsada por Anthropic junto a Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA y Palo Alto Networks. El objetivo no es lanzar otro asistente de código, sino usar Claude Mythos Preview, un modelo todavía no publicado de forma general, para tareas defensivas: encontrar fallos, ayudar a parchearlos y reducir la presión que hoy soportan los proyectos críticos de código abierto. Anthropic sostiene que Mythos ya ha encontrado miles de vulnerabilidades de alta severidad, incluidas algunas en los principales sistemas operativos y navegadores web.
El problema ya no es solo el software inseguro, sino el ritmo del ataque
Jim Zemlin, CEO de la Linux Foundation, plantea el desafío en términos bastante directos. En su artículo sobre Glasswing, recuerda que el open source es hoy la forma dominante de software consumido por la empresa y, por tanto, uno de los mayores objetivos posibles para atacantes. Hospitales, bancos, telecomunicaciones, transporte y servicios digitales críticos dependen de componentes abiertos mantenidos a menudo por comunidades pequeñas o equipos con recursos limitados. Al mismo tiempo, esos mantenedores están recibiendo más pull requests, más informes de seguridad —muchos ya generados con IA— y más presión derivada de ataques a la cadena de suministro.
La lectura de la Linux Foundation coincide con la de Anthropic: el periodo más peligroso no será necesariamente el de madurez, sino el de transición. Si las nuevas capacidades de búsqueda y explotación de fallos avanzan más rápido que las defensas y los procesos de parcheo, el coste para el software crítico puede crecer con mucha rapidez. Por eso Project Glasswing no se presenta como una simple colaboración tecnológica, sino como una maniobra preventiva para dar herramientas de primer nivel a quienes mantienen piezas esenciales de la infraestructura digital.
La apuesta: que la IA encuentre y arregle antes de que otros exploten
Lo más interesante del enfoque de la Linux Foundation no está solo en la detección de vulnerabilidades, sino en la posibilidad de que la IA ayude también a corregirlas. Zemlin sostiene que, cuando estas herramientas funcionan bien, aportan escala y velocidad para analizar código, detectar patrones y proponer soluciones a partir de correcciones previas. Incluso cita una valoración breve, pero significativa, de Greg Kroah-Hartman, mantenedor clave del kernel Linux, que después de mostrarse inicialmente escéptico llegó a describir algunos parches generados por IA como “pretty good”. En ese contexto, el atractivo de Glasswing es evidente: menos tiempo dedicado a jugar permanentemente a la defensa y más margen para seguir desarrollando el proyecto.
Anthropic, por su parte, ha explicado que Project Glasswing dará acceso a Mythos Preview a los socios de lanzamiento y a más de 40 organizaciones adicionales que construyen o mantienen software crítico, para analizar tanto sistemas propios como componentes open source. La compañía también ha prometido compartir aprendizajes con la industria y publicar, en un plazo de 90 días, lo que pueda revelar sobre vulnerabilidades corregidas y mejoras derivadas del programa. Además, planea trabajar con organizaciones de seguridad para producir recomendaciones prácticas sobre divulgación de fallos, procesos de actualización, seguridad de la cadena de suministro y automatización del parcheo.
Dinero, acceso gratuito y el intento de evitar una brecha entre grandes y pequeños
Una parte esencial de Glasswing es económica. Zemlin subraya que este tipo de capacidades no puede quedar reservado a quienes tienen grandes presupuestos o plantillas de seguridad muy amplias. En su artículo insiste en que el acceso debe distribuirse de forma más equilibrada entre quienes sostienen el software crítico del mundo, y que el coste no puede convertirse en una nueva barrera. En línea con eso, Anthropic ha comprometido hasta 100 millones de dólares en créditos de uso para Mythos Preview dentro del programa y 4 millones de dólares en donaciones directas a organizaciones vinculadas a la seguridad del open source.
El reparto de esa financiación también ayuda a entender la estrategia. Según Anthropic, 2,5 millones de dólares irán a Alpha-Omega y OpenSSF a través de la Linux Foundation, mientras que 1,5 millones se han destinado a la Apache Software Foundation. La propia ASF ya ha confirmado esa donación y ha explicado que servirá para reforzar infraestructura, procesos de seguridad, servicios para proyectos y soporte a la comunidad. Anthropic añade además que los mantenedores interesados en acceder a estas capacidades podrán hacerlo a través de su programa Claude for Open Source.
Ese detalle es importante porque desplaza el eje del debate. La pregunta ya no es solo si una gran tecnológica puede usar IA para auditar mejor su propio código, sino si quienes mantienen librerías, herramientas y componentes básicos del ecosistema también podrán contar con esa ayuda sin quedar fuera por coste o por falta de infraestructura. Glasswing, al menos sobre el papel, intenta responder a ese desequilibrio.
Un proyecto prometedor, pero también una señal de alarma
Conviene no perder de vista el tono del anuncio. La Linux Foundation no lo presenta como una mejora incremental, sino como una reacción ante una amenaza real. Zemlin habla de un momento especialmente peligroso, en el que los atacantes podrían ganar ventaja significativa mientras el ecosistema tecnológico digiere el impacto de estas nuevas herramientas. Anthropic va incluso más lejos al justificar que Mythos Preview no se publique de forma abierta por su capacidad para encontrar y explotar fallos a gran escala. En otras palabras, Glasswing no es solo un programa de ayuda a mantenedores; es también la confirmación de que la IA ofensiva ya está lo bastante madura como para obligar a reorganizar la defensa.
La gran incógnita es si esta respuesta llegará con la velocidad suficiente. Los mantenedores de open source llevan años trabajando con menos visibilidad, menos incentivos y menos apoyo estructural del que exige la importancia real de su trabajo. Si Glasswing logra convertir esa nueva generación de IA en una herramienta útil para encontrar, priorizar y corregir fallos antes de que se exploten, el impacto puede ser enorme. Si se queda en un programa valioso pero demasiado limitado para la magnitud del problema, el riesgo seguirá ahí. La Linux Foundation, al menos, ha dejado clara una idea: el open source no puede entrar en la era de la IA defensiva con herramientas del pasado.
Preguntas frecuentes
¿Qué es exactamente Project Glasswing?
Es una iniciativa coordinada por Anthropic junto a grandes empresas tecnológicas y la Linux Foundation para usar Claude Mythos Preview con fines defensivos, especialmente en la búsqueda y corrección de vulnerabilidades en software crítico, incluido open source.
¿Por qué la Linux Foundation considera urgente este proyecto?
Porque sostiene que los nuevos modelos de IA ya están mostrando una capacidad inédita para descubrir vulnerabilidades, incluso en sistemas muy endurecidos, mientras los mantenedores de open source soportan cada vez más carga operativa y de seguridad.
¿Los mantenedores de open source tendrán acceso gratuito?
Ese es uno de los objetivos declarados. La Linux Foundation afirma que el acceso debe ser gratuito para evitar fricción económica, y Anthropic indica que los mantenedores podrán solicitar acceso a través de Claude for Open Source.
¿Qué financiación acompaña a Glasswing para el open source?
Anthropic ha comprometido hasta 100 millones de dólares en créditos de uso del modelo y 4 millones en donaciones: 2,5 millones para Alpha-Omega y OpenSSF a través de la Linux Foundation y 1,5 millones para la Apache Software Foundation.
vía: linuxfoundation
