🥇 Bit 1 — Google atrapa el primer zero-day construido con IA "en estado salvaje"
El Google Threat Intelligence Group (GTIG) publicó ayer que detectó —con "alta confianza"— a un grupo criminal usando un modelo de IA para descubrir y armar un zero-day que evadía 2FA en una herramienta open-source popular de administración web. Google avisó al fabricante, parcharon en silencio antes del despliegue masivo, y el grupo planeaba un "mass exploitation event". Es la primera vez documentada en que Google atrapa un exploit creado con IA antes de ser usado a escala. Bloomberg reporta que los investigadores no creen que el modelo usado haya sido Mythos de Anthropic ni Gemini.
Take: El frame de "la IA ofensiva todavía está a 6-12 meses" se rompió ayer. La cita de John Hultquist (chief analyst de GTIG) lo deja claro: "por cada zero-day que podemos trazar a IA, probablemente hay muchos más allá afuera". Para equipos LATAM con stack open-source y poco presupuesto de security, el cálculo cambia: las herramientas de admin web que llevan años sin auditar acaban de subir varios niveles en el ranking de exposición. Vale revisar qué tiene 2FA y qué corre versiones viejas esta semana, no el próximo trimestre. La defensa de Google es interesante también: usan Big Sleep (agente que detecta vulnerabilidades) y CodeMender (Gemini fixeando bugs en automático). La carrera defensiva ya empezó.
📎 Fuente: Bloomberg · CNBC · Google Blog — GTIG report · BleepingComputer · Axios
🥈 Bit 2 — OpenAI compra Tomoro: la Deployment Company se queda con 150 forward-deployed engineers de un solo golpe
La OpenAI Deployment Company ("Deployco") —la JV con TPG, Advent, Bain Capital y Brookfield que cubrimos el 5 de mayo— acaba de cerrar su primera jugada operativa: adquisición completa de Tomoro, consultora aplicada de IA que aporta ~150 forward-deployed engineers especializados en implementar foundation models dentro de empresas. Los 19 partners founding (VCs, consultoras y SIs globales) ya tienen plataforma con la que aterrizar deals. Denise Dresser (CRO de OpenAI) lo describió en CNBC como un "tipping point" del enterprise adoption.
Take: Esto es el playbook Palantir aplicado a foundation models — meter gente cara, dentro del cliente, durante meses, para que el modelo "encaje" con el negocio. La diferencia con la versión Anthropic JV (que cubrimos también el 5 de mayo): Anthropic prometió forward-deployed engineers; OpenAI acaba de comprar 150 de un solo cheque. La velocidad de ejecución importa. Para founders LATAM con presupuesto ajustado significa dos cosas concretas: (1) el espacio de implementadores boutique se va a comprimir cuando Deployco aterrice en la región, y (2) la oportunidad sigue estando en verticales y mercados que TPG y Bain no van a tocar — fintech LATAM, agtech, gobierno municipal, salud privada mid-market. La diferenciación vuelve a ser conocimiento de contexto local, no acceso al modelo.
📎 Fuente: OpenAI — anuncio oficial Deployco · CNBC — Dresser interview · Implicator — detalles Tomoro · Connect Money
🥉 Bit 3 — Claude Code 2.1.139: agent view y /goal para correr múltiples sesiones en paralelo
Anthropic liberó ayer Claude Code v2.1.139 con dos features que cambian cómo se trabaja con el CLI:
(1) Agent view (Research Preview) — un dashboard único con todas las sesiones de Claude Code corriendo, bloqueadas esperando tu input, o terminadas. Se accede con claude agents.
(2) /goal — un comando que fija una condición de cumplimiento y deja a Claude trabajando turno tras turno hasta lograrla, con panel en vivo de tiempo, turnos y tokens consumidos.
Disponible en Pro, Max, Team, Enterprise y API. En paralelo salió Claude Platform on AWS (Claude API con billing e IAM nativos de AWS) — la pieza que faltaba para empresas reguladas que querían usar Claude sin sacar datos del perímetro AWS.
Take: El movimiento es claro: Anthropic está empujando Claude Code de "asistente de pair programming" a "orquestador de N agentes corriendo en paralelo en tu máquina". Para devs LATAM que ya están en Claude Code, la combinación de /goal + agent view permite cosas que antes requerían tmux + scripts custom — por ejemplo, mandar tres tareas largas (refactor, tests, docs) y revisarlas todas desde un solo panel. Vale pilotar esta semana antes de armar workflows; cuando deje el research preview, el costo de cambiar va a ser mayor. Para equipos con stack AWS y compliance estricto, Claude Platform on AWS es el path corto para destrabar el deploy de agentes que estaba bloqueado por procurement.
📎 Fuente: Anthropic Blog — Agent view · Docs oficiales — agent view · Changelog v2.1.139 (GitHub) · Claude World writeup
🔗 Links Rápidos
→ OpenAI abre GPT-5.5-Cyber para la UE; Anthropic sigue sin liberar Mythos al bloque. La Comisión Europea está en negociaciones distintas con ambos: cuatro o cinco reuniones formales con Anthropic, contra acuerdo listo con OpenAI. Lectura geopolítica del compliance de modelos cyber — la postura más conservadora de Anthropic empieza a tener costo de mercado europeo. CNBC · Axios
→ Import AI #456 (Jack Clark) — "RSI y crecimiento económico, opcionalidad radical para regulación, y una computadora neuronal." La entrega semanal de Clark esta vez insiste en el frame de que la investigación de IA se está volviendo end-to-end automatizada y qué implica para regulación. Lectura recomendada del lunes para quien sigue la conversación de RSI (recursive self-improvement) en serio. Import AI 456
→ Dato del día para anclar el Bit 1: según el reporte de GTIG, el grupo criminal estaba a horas o días de lanzar el ataque cuando Google los interceptó. La ventana entre "exploit listo" y "exploit masivo" se está reduciendo de meses a horas. Si tu organización no tiene un canal para recibir advisories de Google/Microsoft/CISA dentro de la hora siguiente al disclosure, ese canal es el siguiente item de tu roadmap de security.
bitneuronal se escribe desde LATAM, para equipos que construyen con IA de verdad. Si te lo reenviaron y quieres recibirlo cada día, suscríbete. Si ya estás suscrito, compártelo con alguien que lo necesite.
Dudas, sugerencias o noticias que se nos escaparon: responde a este correo.
Hasta mañana.