VectorCertain LLC anunció hoy la finalización de la preparación del manuscrito de The MYTHOS Playbook, una referencia técnica de 34 capítulos y 9 apéndices diseñada para CISOs, arquitectos de seguridad y líderes de programas de gobernanza de IA que operacionalizan la nueva guía conjunta de los Cinco Ojos sobre seguridad de IA agéntica. El libro cierra hoy su ciclo de desarrollo de 17 sprints y procede a su publicación en junio de 2026. Una página de pre-pedido está disponible en vectorcertain.com.
El 1 de mayo de 2026, seis agencias nacionales de ciberseguridad que representan a las cinco naciones de los Cinco Ojos—CISA, NSA, ASD ACSC de Australia, el Centro Canadiense de Ciberseguridad, NZ NCSC y UK NCSC—publicaron conjuntamente "Adopción Cuidadosa de Servicios de IA Agéntica". Es la primera guía de seguridad multigubernamental coordinada que aborda específicamente los sistemas de IA agéntica, moviendo el riesgo de agentes autónomos de "problema emergente de proveedores" a clasificación de "infraestructura nacional crítica". La guía identifica cinco clases de riesgo: privilegio, diseño y configuración, comportamiento, estructural y responsabilidad.
El contexto de mercado en el que entra la guía es severo. Gartner proyecta que los agentes de IA estarán integrados en el 40% de las aplicaciones empresariales para finales de 2026, frente a menos del 5% en 2025. Una de cada ocho violaciones empresariales ahora involucra agentes de IA, un aumento interanual del 340%, con el 78% de los agentes comprometidos encontrados con permisos excesivos. El 88% de las organizaciones reportan incidentes de seguridad relacionados con agentes. El análisis de 18,470 configuraciones de agentes en producción encontró que el 98.9% carece por completo de reglas de denegación. El Centre for Long-Term Resilience documentó 698 incidentes reales de engaño de IA en una sola ventana de seis meses, un aumento de 4.9x, incluyendo engaño entre modelos documentado.
The MYTHOS Playbook llena el vacío entre la intención de la política y la implementación a nivel de CISO. Cada clase de riesgo identificada en la guía de los Cinco Ojos se asigna a capítulos y apéndices específicos de MYTHOS Playbook. Para los riesgos de privilegio, la Parte II entrega una arquitectura de privilegio mínimo patentada a través de las compuertas de gobernanza MRM-CFS-SG y la capa de gobernanza de acceso AGL-SG. Para los riesgos de diseño y configuración, la Parte II y la Parte VI especifican patrones de diseño seguro por defecto y despliegue progresivo alineados con la recomendación de los Cinco Ojos de "casos de uso de bajo riesgo y no sensibles primero", mientras que el Apéndice G proporciona una biblioteca de 12 cláusulas de lenguaje RFP para proveedores con herencia. Para los riesgos de comportamiento, la Parte III presenta una taxonomía de amenazas de comportamiento de siete vectores, y la Parte IV proporciona una metodología de detección estadística que incluye HOTS Homology (precisión de detección de engaño del 81.4%). Para los riesgos estructurales, el Capítulo 8 especifica el modelo de seguridad composicional 8-2-8 para la contención de fallos en cascada entre componentes, y el Apéndice C entrega una matriz de correspondencia de 119 celdas que mapea mitigaciones a través de NIST AI RMF, OWASP LLM Top 10, OWASP Agentic Top 10, CRI FS AI RMF y MITRE ATLAS. Para los riesgos de responsabilidad, el Apéndice F publica una muestra completa de registro de auditoría GTID con evidencia de manipulación encadenada con hash, proporcionando el esquema de registro exacto que los CISOs necesitan para satisfacer los requisitos de "cada decisión del agente registrada".
El manuscrito de The MYTHOS Playbook estaba estructuralmente completo para abril de 2026, antes de que la guía conjunta de los Cinco Ojos se publicara el 1 de mayo de 2026. La redacción comenzó en 2025. La taxonomía de riesgo conductual de siete vectores del Playbook se derivó de forma independiente del análisis de incidentes del mundo real, incluidos casos documentados como los 698 incidentes de engaño de IA catalogados en el informe "Scheming in the Wild" de CLTR y el hallazgo de 1 de cada 8 violaciones de Digital Applied. Cuando se publicó la guía de los Cinco Ojos, sus cinco clases de riesgo se mapearon limpiamente sobre los compromisos estructurales existentes del Playbook. No fue necesaria ninguna adaptación. Esta convergencia es operativamente significativa: la taxonomía de riesgo de los Cinco Ojos es el piso de la política; la taxonomía de riesgo de MYTHOS Playbook es el piso técnico. Se alinearon porque el panorama de amenazas subyacente es real y observable.
El libro está estructurado en siete partes más un conjunto de referencia de nueve apéndices, que abarca aproximadamente 450,000 palabras. Los apéndices incluyen una hoja de trabajo de matriz de confusión para cálculos binomiales exactos de Clopper-Pearson, una matriz de referencias cruzadas, una biblioteca de lenguaje RFP para proveedores, una muestra de auditoría GTID y una bibliografía anotada. La cartera de patentes que subyace a los compromisos arquitectónicos del libro incluye 55 patentes (21 presentadas en USPTO) en una estructura de hub-and-spoke en siete verticales, con valoración consolidada en tres marcos que van desde $285 millones hasta $1.55 mil millones.
Joseph P. Conroy, Fundador y CEO de VectorCertain LLC, dijo: "Los Cinco Ojos hicieron el trabajo duro de política—establecer que el riesgo de la IA agéntica es una preocupación de grado de seguridad nacional en todas las cinco naciones miembros, simultáneamente. The MYTHOS Playbook es el complemento operacional: la referencia técnica que un CISO puede entregar a un arquitecto de seguridad, quien luego puede especificar la aplicación a nivel de despliegue. No escribimos un libro sobre la guía de los Cinco Ojos—escribimos un libro sobre el panorama de amenazas subyacente, y la guía publicada por los Cinco Ojos llegó a la misma taxonomía de riesgo de forma independiente. Esa convergencia es la validación más fuerte de ambos documentos."
