Ir al contenido
Guide

Claude Mythos encontró más de 500 días cero: automatice sus controles de seguridad

| 8 min read

Antrópico\

Abstract blue digital circuit pattern representing AI security analysis
Photo by Growtika on Unsplash

El 7 de abril de 2026, Anthropic anunció Claude Mythos Preview. A los pocos días de realizar pruebas internas, encontró más de 500 vulnerabilidades de alta gravedad en algunas de las bases de código más analizadas del planeta: un joven de 16 años fuera de los límites escribir en FFmpeg, una denegación de servicio de 27 años en OpenBSD y una ejecución remota de código en FreeBSD que fue sin ser detectado durante 17 años (CVE-2026-4747).

No tienes acceso a Mythos. Anthropic lo restringió a los socios del Proyecto Glasswing: AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike y algunos otros. Pero el mensaje es claro: si la IA puede encontrar errores escondidos en Bases de código probadas por fuzzers millones de veces, su infraestructura también tiene lagunas.

Esta publicación cubre seis controles de seguridad que puede automatizar ahora mismo con llamadas API. No se requiere acceso a Mythos. cada uno uno toma un solo curl comando y devuelve JSON estructurado que puede canalizar en alertas, paneles o Tuberías de CI.

Lo que encontró Mythos (y por qué es importante para tu pila)

Los fuzzers tradicionales lanzan entradas aleatorias al código. Mitos lee y razona sobre el código fuente como una seguridad. investigador. Rastreó el historial de confirmaciones de Git, identificó parches incompletos y construyó cadenas de exploits que abarcaban múltiples vulnerabilidades.

Proyecto tipo de error Edad Detalle
Códec FFmpeg H.264 Escritura fuera de límites 16 años Colisión de numeración de sectores; Los fuzzers golpean la línea 5 millones de veces sin activarla.
OpenBSD TCP/SACK Denegación de servicio 27 años Desbordamiento de entero con signo + desreferencia de puntero NULL; bloquea cualquier máquina de forma remota
FreeBSD NFS Ejecución remota de código 17 años CVE-2026-4747; Desbordamiento del búfer de pila en la autenticación RPCSEC_GSS, no se necesita autenticación
Guión fantasma Omisión de límites de pila Décadas Verificación de límites incompletos en el manejo de fuentes; reflejó un camino previamente parcheado
CGIF Desbordamiento del búfer Años Los restablecimientos del diccionario LZW hacen que la salida exceda el tamaño de entrada; Se perdió la cobertura del código al 100%

¿El costo? Menos de 20.000 dólares para encontrar el error de OpenBSD. Menos de $10,000 por las vulnerabilidades de FFmpeg. Eso es más barato que una sola semana de pruebas de penetración manuales.

No puedes ejecutar Mythos con tu propio código hoy. Pero puedes cerrar las brechas que no requieren binarios profundos. análisis: certificados caducados, falta de autenticación de correo electrónico, encabezados de seguridad débiles y tiempo de inactividad silencioso.

Comprobación 1: caducidad del certificado SSL

Los certificados SSL caducados provocan interrupciones y acaban con la confianza del usuario. Stripe, Microsoft y Spotify han tenido Incidencias relacionadas con el certificado. Una sola llamada API le indica cuántos días le quedan. 

curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "issuer": "Let's Encrypt",
    "valid_from": "2026-02-01T00:00:00.000Z",
    "valid_to": "2026-05-02T00:00:00.000Z",
    "days_remaining": 23,
    "expired": false,
    "expiring_soon": true
  }
}

La expiring_soon bandera voltea a true cuando el certificado esté dentro de los 30 días siguientes a caducidad. Canalice esto en una alerta de Slack o una verificación de CI.

Comprobación 2: validación del registro SPF

Un registro SPF mal configurado significa que los atacantes pueden falsificar correos electrónicos de su dominio. El anuncio de Mythos recordó Para todos, la seguridad va más allá del código: su configuración DNS también es una superficie de ataque. 

curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'
{
  "success": true,
  "data": {
    "domain": "your-app.com",
    "has_spf": true,
    "record": "v=spf1 include:_spf.google.com ~all",
    "issues": [
      "SPF record uses ~all (softfail) instead of -all (hardfail)"
    ],
    "score": "B"
  }
}

Problemas comunes que detecta el terminal: ~all en lugar de -all, demasiadas búsquedas de DNS (supera el límite de 10 búsquedas) y falta include: directivas para remitentes externos.

Comprobación 3: política DMARC

Sin DMARC, sus controles SPF y DKIM no se aplican. Los atacantes pasan correos electrónicos falsificados a bandejas de entrada que omitir la verificación. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com"}'

Buscar policy: "reject" en la respuesta. Nada menos (none o quarantine) significa que los correos electrónicos falsificados de su dominio aún pueden llegar a las bandejas de entrada.

Comprobación 4: selector DKIM

DKIM firma los correos electrónicos salientes con una clave criptográfica. Sin él, los servidores receptores no pueden verificar el contenido del correo electrónico. no fue manipulado durante el tránsito. 

curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
  -H "Content-Type: application/json" \\
  -d '{"domain": "your-app.com", "selector": "google"}'

Pase el selector que utiliza su proveedor de correo electrónico (Google utiliza google, Microsoft utiliza selector1 y selector2). El punto final valida que la clave pública existe y está correctamente formateado.

Comprobación 5: encabezados de seguridad HTTP

Faltan encabezados como Strict-Transport-Security, X-Content-Type-Options, y Content-Security-Policy deje su aplicación abierta para ataques de degradación, rastreo MIME y XSS. 

curl -s -X POST https://api.botoi.com/v1/headers \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

La respuesta incluye una security_headers objeto que muestra qué encabezados están presentes, cuáles faltan, y qué valores contienen. Agregue esta verificación a su canal de implementación para detectar regresiones.

Comprobación 6: tiempo de actividad y tiempo de respuesta

Si su sitio no funciona, nada más importa. Una verificación rápida del tiempo de actividad confirma que su aplicación responde, mide la latencia y y detecta bucles de redireccionamiento o códigos de estado inesperados. 

curl -s -X POST https://api.botoi.com/v1/uptime/check \\
  -H "Content-Type: application/json" \\
  -d '{"url": "https://your-app.com"}'

Combine los seis en un solo guión de auditoría

Ejecute las seis comprobaciones en cualquier dominio con un único script bash. Guárdalo como audit.sh, hazlo ejecutable y pase su dominio como argumento. 

#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"

echo "Security audit for \$DOMAIN"
echo "=========================="

# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'

# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'

# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
  -H "Content-Type: application/json" \\
  -d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'

# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'

# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
  -H "Content-Type: application/json" \\
  -d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'

echo "\\nAudit complete."

Node.js con el SDK de Botoi

Si prefiere TypeScript, el @botoi/sdk El paquete ejecuta todas las comprobaciones en paralelo con seguridad de tipo completo. 

import Botoi from "@botoi/sdk";

const botoi = new Botoi(); // no key needed for free tier

async function auditDomain(domain: string) {
  const [ssl, spf, dmarc, headers] = await Promise.all([
    botoi.sslCert.expiry({ domain }),
    botoi.dnsSecurity.spfCheck({ domain }),
    botoi.dnsSecurity.dmarcCheck({ domain }),
    botoi.headers.check({ url: \`https://\${domain}\` }),
  ]);

  const issues: string[] = [];

  if (ssl.data.days_remaining < 30) {
    issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
  }
  if (!spf.data.has_spf) {
    issues.push("Missing SPF record");
  }
  if (!dmarc.data.has_dmarc) {
    issues.push("Missing DMARC record");
  }
  if (spf.data.score !== "A") {
    issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
  }

  return { domain, issues, passed: issues.length === 0 };
}

const result = await auditDomain("your-app.com");
console.log(result);

Automatizar con acciones de GitHub

Ejecute estas comprobaciones en cada impulso para main y en un horario semanal. La acción falla la construcción cuando el certificado SSL está dentro de los 14 días posteriores a su vencimiento o la puntuación SPF cae por debajo de A. 

name: Security Audit
on:
  schedule:
    - cron: '0 9 * * 1' # Every Monday at 9 AM
  push:
    branches: [main]

jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - name: Check SSL expiry
        run: |
          RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
          if [ "\$DAYS" -lt 14 ]; then
            echo "::warning::SSL certificate expires in \$DAYS days"
            exit 1
          fi

      - name: Check DNS security
        run: |
          SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
            -H "Content-Type: application/json" \\
            -d '{"domain": "your-app.com"}')
          SCORE=\$(echo \$SPF | jq -r '.data.score')
          if [ "\$SCORE" != "A" ]; then
            echo "::warning::SPF score is \$SCORE, not A"
          fi

Qué cambia Mythos para los equipos de seguridad

Mythos encontró 595 entradas que provocaron fallos en todo el corpus OSS-Fuzz, en comparación con aproximadamente 150 en Opus 4.6. Desarrolló 181 exploits funcionales para Firefox de los cuales Opus 4.6 logró 2. Anthropic comprometió $100 millones en API créditos y 4 millones de dólares para organizaciones de seguridad de código abierto a través del Proyecto Glasswing.

La conclusión: el descubrimiento de vulnerabilidades impulsado por la IA funciona. La escala y la velocidad solo aumentarán. Los atacantes obtener acceso a capacidades similares. Su defensa no puede depender únicamente de auditorías manuales.

Las seis comprobaciones de esta publicación no encontrarán un desbordamiento de búfer de hace 16 años en sus dependencias. Pero captan el Fallos leves que causan incidentes reales: certificados caducados, dominios de correo electrónico falsificados, falta de seguridad. encabezados y tiempo de inactividad silencioso. Automatízalos hoy. Arreglar lo que vuelve. Luego preocúpate por las cosas más profundas.

FAQ

¿Qué es Claude Mythos y puedo usarlo?
Claude Mythos Preview es el modelo de inteligencia artificial más nuevo de Anthropic, anunciado el 7 de abril de 2026. Encontró más de 500 vulnerabilidades de alta gravedad en proyectos de código abierto como FFmpeg, OpenBSD y FreeBSD. Anthropic no tiene planes de lanzamiento público. El acceso está restringido a los socios del Proyecto Glasswing, incluidos AWS, Apple, Google, Microsoft, Nvidia y CrowdStrike.
¿Qué tipo de vulnerabilidades encontró Claude Mythos?
Mythos encontró errores de corrupción de memoria, desbordamientos de búfer, desbordamientos de pila y fallas lógicas. Ejemplos notables incluyen una escritura fuera de límites de hace 16 años en el códec H.264 de FFmpeg, un error de denegación de servicio de hace 27 años en la pila TCP de OpenBSD y una vulnerabilidad de ejecución remota de código de hace 17 años en FreeBSD NFS (CVE-2026-4747).
¿Puedo comprobar la seguridad SSL y DNS de mi dominio con una API?
Sí. Envíe una solicitud POST a https://api.botoi.com/v1/ssl-cert/expiry con su dominio para verificar la validez del certificado. Utilice /v1/dns-security/spf-check, /v1/dns-security/dmarc-check y /v1/dns-security/dkim-check para auditar los registros de autenticación de correo electrónico. All endpoints work without an API key at 5 requests per minute.
¿Cómo automatizo los controles de seguridad en una canalización de CI?
Llame a los puntos finales de seguridad desde cualquier sistema CI utilizando curl o un cliente HTTP. Verifique el vencimiento de SSL, los registros de seguridad DNS, los encabezados de seguridad HTTP y la disponibilidad del sitio en cada envío o en una programación cron. La API de Botoi devuelve JSON estructurado, por lo que puede analizar los resultados y fallar la compilación cuando una verificación devuelve una advertencia.
¿Qué es el Proyecto Glasswing?
El Proyecto Glasswing es la iniciativa de Anthropic para utilizar Claude Mythos para seguridad defensiva. Los socios incluyen AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks y Linux Foundation. Anthropic comprometió hasta 100 millones de dólares en créditos API y 4 millones de dólares para organizaciones de seguridad de código abierto.

Empieza a construir con botoi

150+ endpoints de API para consultas, procesamiento de texto, generacion de imagenes y utilidades para desarrolladores. Plan gratuito, sin tarjeta de credito.

Ver documentacion de la API Ver todas las herramientas