Si buscas las noticias del día anterior, puedes encontrarlas aquí. O si lo que buscas son las noticias del día siguiente, haz clic aquí.
Anthropic anunció Project Glasswing, una iniciativa para ayudar a detectar y corregir vulnerabilidades en software crítico usando su nuevo modelo frontier, Claude Mythos Preview. El acceso al modelo es restringido a organizaciones seleccionadas (incluyendo grandes proveedores cloud y empresas de seguridad) bajo un programa de investigación y créditos de uso que Anthropic ha comprometido para facilitar auditorías defensivas en sistemas de infraestructura crítica. La compañía explica que Mythos ha mostrado capacidades superiores en tareas de análisis y explotación de software, por lo que su despliegue público queda limitado mientras se investigan riesgos y salvaguardas. Fuente: Anthropic - Project Glasswing. (anthropic.com)
La aparición pública de Mythos ha provocado llamadas y reuniones entre autoridades y grandes instituciones financieras para evaluar riesgos sistémicos de ciberseguridad. Medios y organizaciones regulatorias en Reino Unido, Canadá y EE. UU. han iniciado diálogos con Anthropic y con bancos para comprender el alcance y mitigar impactos potenciales en infraestructuras críticas. Las conversaciones ilustran la preocupación por la doble utilidad (dual-use) de modelos capaces tanto de detectar como de explotar vulnerabilidades. Fuente: The Guardian — análisis y reacciones públicas. (theguardian.com)
Junto al anuncio, Anthropic y análisis independientes han publicado documentación extensa (un “system card”) que detalla evaluaciones, metodología, riesgos de uso indebido y resultados de pruebas para Claude Mythos. Este paquete documental amplio es la principal ventana técnica disponible por ahora y subraya la intención de la compañía de priorizar evaluación y gobernanza antes de una disponibilidad más amplia. El system card ha sido revisado y resumido por varios medios técnicos. Fuente: análisis del system card (resumen técnico). (en.cryptonomist.ch)
Investigadores de Cyera han divulgado una bypass de autorización en Docker Engine (CVE-2026-34040) que permite que solicitudes HTTP con un cuerpo de más de 1 MB sean truncadas antes de llegar a plugins AuthZ, lo que puede habilitar la creación de contenedores privilegiados sin que el plugin lo vea. El problema se describe como una regresión/incompleta corrección de una vulnerabilidad anterior y afecta versiones anteriores a Docker Engine 29.3.1 / Docker Desktop 4.66.1; las guías de mitigación y actualización han sido publicadas por los investigadores y replicadas por medios de seguridad. Si utiliza AuthZ plugins, aplicar el parche o mitigar el tamaño de petición es urgente. Fuente: informe de Cyera Research sobre CVE-2026-34040. (cyera.com)
Microsoft (VS Code) lanzó la versión 1.115 con la vista previa de la nueva aplicación complementaria “VS Code Agents”, diseñada para desarrollo con agentes: permite ejecutar múltiples sesiones de agentes en paralelo, revisar diffs inline, dejar feedback y crear pull requests desde la app. Además se mejoran las herramientas para que agentes interactúen con terminales en background (send_to_terminal) y se optimiza la experiencia del “browser tool” para agentes. Estas novedades apuntan a consolidar flujos de trabajo agent‑native en el editor. [Fuente: InfoWorld — resumen de VS Code 1.115]. (infoworld.com)
GitHub introdujo en Copilot CLI una función llamada “Rubber Duck” que usa un segundo modelo (de otra familia) como revisor independiente para los resultados del agente primario. La idea es reducir sesgos y puntos ciegos al hacer que dos familias de modelos se revisen mutuamente en puntos clave del flujo (plan, implementación compleja, tests), mejorando la detección de errores en tareas multiarchivo y complejas. La función aparece en reportes y resúmenes técnicos publicados la semana pasada. [Fuente: Dev Weekly — resumen de herramientas y Rubber Duck]. (singhajit.com)
AWS presentó Amazon S3 Files, una capa que permite montar buckets S3 como un sistema de ficheros con semántica NFS/POSIX y acceso nativo desde EC2, ECS/EKS, Lambda y otros recursos. El objetivo es eliminar duplicación de datos entre almacenamiento de objetos y sistemas de ficheros para cargas de trabajo ML/IA y agentes que requieren acceso tipo fichero; AWS declara disponibilidad general en múltiples regiones y añade garantías de caché y rendimiento para datos activos. Esta función puede simplificar pipelines RAG y procesos de entrenamiento que hoy duplican datos. [Fuente: The New Stack — cobertura del anuncio S3 Files]. (thenewstack.io)
La página oficial de lanzamientos de Kubernetes mantiene activo el ciclo de v1.36; el proyecto describe la cronología de milestones y el historial de parches para las ramas activas (1.35, 1.34, 1.33). Equipos de infraestructuras y operadores deben revisar el calendario de release y las notas de parche para planear actualizaciones y alinearse con las políticas de soporte de versiones. En particular, el sitio oficial y el repositorio SIG Release ofrecen el calendario y detalles para la preparación de v1.36. [Fuente: Kubernetes — Releases / calendario]. (kubernetes.io)
El dashboard de lanzamientos de Go muestra actividad reciente en ramas de mantenimiento y backports de seguridad (por ejemplo, entradas para Go1.25.x y Go1.26.x que incluyen parches de seguridad y correcciones). Las notas en el dashboard y las listas de CLs pendientes son la referencia para ver CVE corregidos y cambios inmediatos; administradores de infra y proyectos en Go deberían revisar las ramas de release para planear actualizaciones. [Fuente: Go Release Dashboard (release dashboard) — entradas recientes]. (dev.golang.org)
Informes de seguridad recientes describen un zero‑day en Fortinet FortiClientEMS (CVE-2026-35616) que permitió bypass de autenticación en APIs y explotaciones activas detectadas desde finales de marzo; Fortinet publicó parches de emergencia y autoridades como CISA han incluido variantes en listados de vulnerabilidades explotadas. Equipos que utilicen FortiClientEMS deben priorizar la aplicación de los hotfixes oficiales y seguir avisos de su proveedor. [Fuente: resumen técnico y avisos en recopilaciones de seguridad (Dev Weekly / alertas sectoriales)]. (singhajit.com)
En la sección de hardware doméstico/homelab, varias revisiones publicadas la semana pasada analizan el Geekom A5 Pro (modelo 2026). El equipo se presenta como una opción compacta y económica para roles de baja/mid‑range (servidor doméstico, media server o nodo de pruebas), con soporte para RAM dual‑channel, 2.5GbE y un chasis pequeño que permite actualizaciones modestas; las pruebas muestran buen comportamiento térmico y ruido contenido pero limitaciones en GPU para cargas intensivas. Interesa a quienes buscan mini‑PCs para laboratorio, NAS liviano o estaciones de trabajo pequeñas. [Fuente: igor’sLAB — revisión Geekom A5 Pro]. (igorslab.de)
¿Quieres que priorice ampliar alguna de estas noticias con más detalle técnico (p. ej. IOCs/mitigaciones Docker, análisis del system card de Mythos, o pasos concretos para actualización de Go/Kubernetes)?