Apple está con el miedo en el cuerpo después de haber recibido un informe de que investigadores de Calif, una firma de ciberseguridad de Palo Alto, aseguren haber construido un exploit para macOS con ayuda de Claude Mythos. Como sabemos, se trata de la IA de Anthropic orientado a investigación defensiva que no ha sido liberada al gran público. Según Calif, el ataque se ejecutó sobre macOS 26.4.1 utilizando un procesador M5 de la compañía de la manzana mordida. Aunque Apple ya lanzó macOS Tahoe 26.5 con decenas de correcciones, no está confirmado de forma oficial que se haya cerrado esa brecha de seguridad que han hecho pública los investigadores.
El hallazgo: un exploit local contra macOS en un Mac M5 Calif afirma que sus ingenieros encontraron los fallos el 25 de abril de 2026 y que el 1 de mayo ya tenían un exploit funcional. Esto pone de manifiesto la capacidad de Claude Mythos tanto para detectar brechas de seguridad como para aprovecharlas mediante exploits. Según la compañía: “La cadena combina dos vulnerabilidades y varias técnicas para lograr una escalada de privilegios local en macOS 26.4.1, usando únicamente llamadas normales del sistema”. La clave está en el tipo de ataque.
No es una intrusión remota, sino una escalada local de privilegios. Para que nos entendamos, un atacante necesitaría ejecutar cierto código en el equipo o combinar esta brecha de seguridad con otra. En caso de lograrlo, podría pasar de ser un simple usuario a tener permisos de administrador o root. La cosa es aún más preocupante cuando vemos que se ha conseguido sobre un Apple M5 con Memory Integrity Enforcement, una protección de Apple diseñada para hacer mucho más difícil el acceso a errores de corrupción de memoria.
La compañía responsable del hallazgo confirma que publicarán todos los detalles en forma de PDF de 55 páginas cuando los de Cupertino confirmen que han corregido la vulnerabilidad. El papel real de Claude Mythos Sobre esta versión de Claude se han escrito muchas cosas, incluso que podría acabar con la civilización tal y como la conocemos. Esto sería debido a su capacidad para encontrar fallos de seguridad en cualquier cosa, incluso en sistemas vitales para la sociedad moderna como bancos, centrales nucleares o plantas de gestión de residuos. Sin embargo, Calif rebaja algo la euforia y, aunque le da un papel muy importante a Claude Mythos, señala que el trabajo necesitó expertos humanos.
Es decir, que esta IA en las manos de una persona sin conocimientos técnicos no debería suponer un riesgo demasiado elevado. Mythos ayudó a escribir código, pero los investigadores tuvieron que aportar criterio técnico para convertirlo en una herramienta útil de ataque. El resumen es claro: la IA no sustituye todavía al investigador experto, pero puede reducir mucho los tiempos. Lo que antes necesitaba semanas de análisis y mucho personal, ahora se consigue en días, pero sigue siendo necesario un equipo humano.