Anthropic publicó el jueves los números del Proyecto Glasswing: Mythos Preview y unos cincuenta socios encontraron más de 10,000 vulnerabilidades críticas en software esencial en un mes. Cloudflare reportó 2,000 bugs propios, con una tasa de falsos positivos mejor que la de sus probadores humanos. Mozilla encontró 271 en Firefox 150, diez veces más que con Claude Opus 4.6. wolfSSL recibió un CVE crítico (2026-5194) que permitía falsificar certificados bancarios y de proveedores de correo.

De esas 530 vulnerabilidades ya reportadas a mantenedores de software libre, 75 tienen parche aplicado. El 14%.

La cifra que importa no es 10,000. Es 75 de 530. El cuello de botella ya no es encontrar el trabajo — es la capacidad humana de procesarlo. Y ese es exactamente el cuello de botella que AI Maestro fue diseñado para resolver, porque ningún agente, ni siquiera Mythos Preview, lo va a romper por ti.

Anthropic acaba de publicar la prueba

Glasswing arrancó el mes pasado como una iniciativa colaborativa de ciberseguridad. Anthropic le dio a ~50 socios acceso a Mythos Preview, su modelo aún no liberado al público. La promesa: encontrar vulnerabilidades antes que los atacantes.

En cuatro semanas:

• 10,000+ vulnerabilidades de severidad alta o crítica en software esencial
• Cloudflare: 2,000 bugs en sistemas críticos, 400 de severidad alta o crítica
• Mozilla: 271 vulnerabilidades parchadas en Firefox 150 — diez veces más que con Opus 4.6 en Firefox 148
• wolfSSL: CVE-2026-5194, falsificación de certificados de bancos y proveedores de correo
• En un banco socio, Mythos detectó y previno una transferencia fraudulenta de $1.5M tras un compromiso de email
• Los parches que Palo Alto Networks publicó la semana pasada: cinco veces más que lo normal
• Microsoft anticipó que el número de parches “seguirá creciendo por un tiempo”

Esa es la velocidad del lado del hallazgo. Ahora el otro lado.

De las 530 vulnerabilidades de severidad alta o crítica ya reportadas a los mantenedores, 75 están parchadas. Tiempo promedio de parche: dos semanas. Varios mantenedores le pidieron a Anthropic que bajara el ritmo de las disclosures porque no daban abasto.

Esa frase es la que define el momento. Bajen el ritmo. No es la IA la que está saturada. Son los humanos que tienen que decidir qué parche escribir, qué CVE asignar, qué versión desplegar en producción.

Anthropic lo escribió textualmente: “the bottleneck in fixing bugs is the human capacity to triage, report, and design and deploy patches.” (El cuello de botella en arreglar bugs es la capacidad humana de hacer triage, reportar, y diseñar y desplegar parches.) Esa cita está enterrada en un párrafo intermedio del update. Es la única cifra que importa.

Quien encuentra no es quien decide

Dan Shipper publicó la semana pasada un ensayo en Every que vale la pena leer entero. Su empresa pasó de 4 a 30 empleados desde GPT-3, automatizando todo lo que se podía automatizar. La conclusión no es que la IA reemplazó a los humanos. Es que la demanda de humanos expertos explotó.

Su argumento — el frame contra el framer — describe exactamente lo que Glasswing acaba de probar con datos. Los modelos como Mythos comoditizan la competencia de ayer: el trabajo cuya forma ya fue capturada por el corpus de entrenamiento. Eso incluye “encontrar una vulnerabilidad de buffer overflow en wolfSSL.” Esa habilidad ya no es escasa.

Lo que sigue siendo escaso — y lo que cada disclosure de Glasswing confirma — es la capacidad de encuadrar el problema en el momento concreto. ¿Este bug es crítico para nuestro deployment específico? ¿Qué dependencias rompe si lo parchamos hoy? ¿Podemos lanzar el rollout sin que se caiga un servicio en producción? ¿Quién firma esto?

Aaron Levie nombró la misma dinámica desde el ángulo de Jevons. “We’ve made it far easier to create and find security issues, which means the new bottleneck is our ability to actually review, respond to, and fix the issues.” (Hicimos mucho más fácil crear y encontrar problemas de seguridad, lo que significa que el nuevo cuello de botella es nuestra capacidad de revisarlos, responder y arreglarlos.) Va a haber un boom de ingenieros de seguridad, no una contracción.

El número 75 de 530 es la escasez de framers vuelta visible. Mythos no resuelve la pregunta “¿qué hago con esto?” — solo la pregunta “¿qué pasa aquí?” Y la primera es la cara, y la única que la organización va a pagar.

Es la tercera vez que veo este movimiento

Llevo programando desde 1990, cuando tenía 15 años y trabajaba en un Commodore 64. He visto este patrón exactamente dos veces antes de ahora.

Principio de los 90: los compiladores comoditizaron el ensamblador. De repente, no necesitabas escribir registros a mano. Turbo C, Borland, las primeras versiones de Microsoft C. “Esto va a eliminar a los programadores de sistemas,” dijo todo el mundo. No eliminó nada. Lo que pasó es que la demanda de arquitectos de sistemas explotó. La gente que sabía qué construir con C — qué arquitectura para qué problema, qué patrón de concurrencia, qué modelo de memoria — era escasa, y se volvió más escasa porque ahora más equipos podían intentarlo y necesitaban a alguien que les dijera si lo estaban haciendo bien.

Los 2010s: los frameworks comoditizaron el boilerplate. Rails, Django, después React. “Esto va a eliminar a los ingenieros senior,” dijo todo el mundo de nuevo. No eliminó nada. La demanda de ingenieros senior — los que saben qué patrones aplicar y cuándo no aplicarlos — se disparó. Yo lo escuché de un cliente en 2015, casi textual: “ahora cualquier junior puede levantar un CRUD. Lo que no puedo encontrar es a alguien que me diga si lo que estamos construyendo es la cosa correcta.”

Ahora: la IA comoditizó la implementación. Mythos encuentra vulnerabilidades a velocidad de máquina. Claude Code escribe código a velocidad de máquina. “Esto va a eliminar a los ingenieros,” dice todo el mundo otra vez. No va a eliminar nada. Va a hacer escasos a los framers — la gente que decide qué encuadrar, qué priorizar, qué desplegar en producción.

La prueba más reciente: el repositorio número uno en tendencia en GitHub esta semana es un archivo CLAUDE.md único que codifica las observaciones de Andrej Karpathy sobre los errores que cometen los LLMs codeando. 146,000 estrellas en una semana. 15,500 forks. Es un archivo de instrucciones. No es código. Es el frame que un humano le pone al modelo. Eso es lo que el mercado está valorando ahora mismo.

Tres ciclos, el mismo movimiento, las mismas predicciones erradas. Cada vez la respuesta correcta fue la misma: contratar a más framers, no a menos.

Qué hacer esta semana en tu organización

No es teoría. Es operacional. Tres cosas concretas para tu equipo esta semana:

1. Inventaria la capacidad de triage que ya tienes. ¿Cuántas vulnerabilidades, hallazgos de auditoría, alertas de monitoreo entran a la cola cada semana? ¿Cuántas se cierran? Si la diferencia es positiva, ya tienes un cuello de botella humano. Si dejas entrar un agente que multiplique la cola por diez sin sumar capacidad de decisión, el cuello se ahoga. La velocidad de hallazgo de Mythos viene a tu sector pronto, te guste o no.

2. Nombra un framer para tus tres sistemas más críticos. No es un rol nuevo. Es asignación explícita. Alguien con la autoridad y el contexto para decir “este hallazgo importa, este no, este lo parcheamos el martes, ese lo paramos.” Sin esa persona, los modelos van a producir un río de salidas que nadie va a usar.

3. No le pagues a un proveedor por hallazgos que tu equipo no puede procesar. El precio por hallazgo está bajando rápido — Anthropic ya abrió Claude Security en beta para clientes Enterprise, y varias herramientas open-source van a aparecer en los próximos seis meses. Si vas a desplegar uno, el cálculo cambia: el costo real no es el hallazgo, es la capacidad de procesarlo.

Este es exactamente el problema que AI Maestro de IQ Source resuelve antes del despliegue. El programa de dos meses entrega tres artefactos: un Mapa de la Realidad del Proceso (el documento que un Mythos no puede escribir por ti — captura qué decisiones se toman, quién las toma y con qué señales), un Puntaje de Oportunidad de IA (qué tareas pueden ser amplificadas y a qué nivel de precisión), y un gate explícito de Sigue/No Sigue. El gate existe porque la respuesta correcta en muchos casos es no escalar todavía.

Para empresas de software que ya tienen capacidad técnica pero les falta el rol del framer en sus equipos, el Socio Tecnológico es la respuesta operacional. Nos subcontratan ese rol, no la implementación. Ese es el patrón que vimos repetirse cuando el runtime se cerró como commodity hace un mes y que Starbucks acaba de pagar caro al desplegar NomadGo sin un framer en el medio.

El cuello de botella se movió. Donde lo dejes esta semana es donde tu organización va a perder o ganar los próximos dos años.