Semana agentic, 6-12 de junio de 2026: Fable 5, Agent Wallet, sunset de OpenAI, panel UE, ataques MCP sampling
Primer resumen semanal. Cinco historias que efectivamente movieron el stack agentic entre el 6 y el 12 de junio de 2026: Anthropic lanzó Claude Fable 5 con un nuevo punto de precio y nuevas clases de rechazo, MetaMask abrió early access para Agent Wallet con transacciones respaldadas por seguro, OpenAI anunció el sunset de Agent Builder y Evals, la Comisión Europea designó el Panel Científico y el Foro Asesor del AI Act, y Unit 42 de Palo Alto publicó tres nuevos vectores de ataque MCP construidos sobre el primitivo de Sampling. Cada uno conecta con un hilo sobre el que venimos escribiendo desde hace meses; esta es la semana en que los hilos se tensaron.
1. Anthropic lanza Claude Fable 5 con un nuevo piso de precio
El 9 de junio Anthropic lanzó Claude Fable 5, el primer modelo de clase Mythos disponible públicamente, a $10 por millón de tokens de input y $50 por millón de tokens de output. Eso es menos de la mitad de lo que costaba Mythos Preview, y la brecha entre el tier frontera de Anthropic y el tier barato ahora es lo suficientemente estrecha como para que la pregunta de ruteo que cubrimos en el post de economía de fleet cambie. Los operadores que construyeron su modelo de costo asumiendo que el tier frontera costaba 20x el tier barato tienen que recalcular sus márgenes esta semana.
El otro detalle de Fable 5 que importa para operadores es el nuevo comportamiento de fallback. Tres áreas de salvaguarda manejadas por clasificadores — ciberseguridad ofensiva, biología y química de doble uso, y atajos de destilación de modelo — ahora rutean a Claude Opus 4.8 en lugar de Fable 5. Anthropic dice que las salvaguardas se disparan en menos del 5% de las sesiones y reconoce que a veces bloquean pedidos benignos. Para un operador que corre un fleet de agentes con cargas mixtas, eso significa que una fracción chica pero no-cero de tus llamadas va a aterrizar silenciosamente en un modelo distinto con características de latencia y costo distintas. Agrega un campo de model-id por llamada a tu tracing si no lo tienes ya; quieres saber qué requests cayeron en fallback antes de que lo haga el reporte de costos.
Fable 5 está incluido en los planes Pro, Max, Team y Enterprise por puesto sin cargo extra hasta el 22 de junio; después del 23, esos planes pasan a créditos separados y Anthropic dijo que la disponibilidad en planes estándar está "llegando lo más rápido posible". Si esta semana le haces demo a un prospect con una cuenta Pro, tu demo es barata. Dentro de dos semanas la matemática es distinta.
2. MetaMask abre early access a Agent Wallet con transacciones aseguradas por $10K
El 8 de junio MetaMask abrió early access a Agent Wallet, una wallet self-custodial que expone swaps, perpetuos, mercados de predicción y provisión de liquidez a agentes IA en cadenas EVM más Hyperliquid. Cohorte inicial de 200 puestos con soporte para frameworks como Claude Code, OpenAI Codex, Cursor y otros. Las dos decisiones de diseño que importan para la audiencia de operadores son Guard Mode y el seguro de respaldo de Blockaid: límites de gasto, allowlists y 2FA en transacciones fuera de rango por defecto, más seguro de pérdida hasta $10,000 en transacciones que Blockaid clasifica como seguras.
Esta es la primera wallet mainstream que lanza custodia nativa para agentes con una garantía de seguro, y cambia materialmente la historia que veníamos contando sobre el stack on-chain agentic. Las piezas que cubrimos por separado — x402 para pagos HTTP-nativos, AP2 para mandatos y autorización, ERC-8004 para identidad de agente sin confianza — ahora tienen una capa de custodia con una marca de consumo real adosada. La pregunta del operador ya no es "cómo dejo que un agente tenga valor de forma segura" sino "custodio sobre los rails de MetaMask o construyo los míos".
Dos precauciones para los operadores que se apuran a entrar esta semana. El respaldo de seguro es por transacción y está topeado, no por cuenta ni por agente — los agentes a escala de fleet que abren muchas transacciones chicas van a agotar la protección por evento rápido. Y la cohorte de early access es lo suficientemente chica como para que los deploys de producción todavía dependan de una relación de beta privada; el camino público es plausiblemente Q3.
3. OpenAI anuncia el sunset de Agent Builder y Evals
La página de deprecations de OpenAI ahora lista Agent Builder y Evals: ambos productos pasan a read-only el 31 de octubre de 2026 y se apagan el 30 de noviembre. Los workflows basados en código se empujan hacia el Agents SDK, los casos de uso con forma de prompt hacia ChatGPT Workspace Agents, y la ruta de migración recomendada para Evals es Promptfoo. Para operadores solos que lanzaron su primer agente sobre Agent Builder — exactamente la audiencia a la que apuntaba el walkthrough de cinco días — esto es una migración forzada con reloj de seis meses.
La migración de Evals es la carga más grande, más que la de Agent Builder. Promptfoo es un objetivo creíble pero la suite de eval que construiste dentro del runner hosteado por OpenAI tiene que ser exportada, re-corrida contra tus transcripts existentes, y reconectada al stack de observability que uses. El post de evaluación argumentó que una suite de eval de quince casos es el activo que separa al operador con un negocio del operador con un hobby, y la migración es el momento en que ese activo prueba que es portable o prueba que nunca lo fue. Si no versionaste tus casos de eval fuera de la UI de OpenAI, esa es la tarea de esta semana.
Editorialmente, el sunset señala dónde piensa OpenAI que va la capa de plataforma agentic: SDKs para builders, Workspace Agents para usuarios finales, herramientas de terceros para el slice de eval/observability. También deja vacante un pedazo de mercado por el que Microsoft Foundry y los stacks de eval nativos de framework (LangSmith, AgentOps, Galileo) van a competir en los próximos dos trimestres — la forma de ese mapa la dibujamos en el post del mapa competitivo.
4. La Comisión Europea designa el Panel Científico y el Foro Asesor del AI Act
Esta semana la Comisión Europea nombró a los expertos independientes que van a integrar el Panel Científico y el Foro Asesor del AI Act: aproximadamente sesenta expertos con scope en clasificación de modelos GPAI, evaluación de riesgo sistémico y metodología de evaluación. Estos son los cuerpos que van a operacionalizar el enforcement cuando los poderes de la Comisión arranquen el 2 de agosto de 2026 — exactamente el deadline sobre el que escribimos en el post del AI Act.
Para operadores de agentes el nombramiento en sí no es una acción regulatoria; es el andamiaje visible detrás de una. El Panel Científico fija la metodología por la cual van a clasificarse los proveedores de GPAI y por la cual se va a esperar que los deployers downstream — eso incluye a cualquiera que lance un agente construido sobre un modelo GPAI — satisfagan el logging del Artículo 13 y la supervisión humana del Artículo 14. El Foro Asesor es el canal de feedback de stakeholders. Juntos te dicen dónde van a aterrizar las prioridades de enforcement antes de agosto.
El movimiento práctico de esta semana, si sirves a algún cliente UE: redacta tu Technical File contra la guía más recientemente publicada por la Comisión. El Panel Científico no va a emitir guía cara-a-operador en el primer mes, pero el deadline del 2 de agosto no se mueve porque los cuerpos sean nuevos. Los operadores que esperan claridad van a ser los que están en remediación en Q4.
5. Unit 42 publica tres nuevos vectores de ataque MCP vía Sampling
Unit 42 de Palo Alto Networks publicó tres nuevos vectores de ataque MCP construidos sobre el primitivo de Sampling: robo de recursos (un servidor comprometido drena la cuota de cómputo del host emitiendo llamadas de sampling no autorizadas), secuestro de conversación (instrucciones maliciosas persistentes inyectadas vía respuestas del server), e invocación encubierta de herramientas (el server dispara silenciosamente acciones no autorizadas a través de tool calls que el usuario nunca aprobó). La investigación cae sobre una población existente de aproximadamente 7,000 MCP servers accesibles públicamente y unas 200,000 instancias estimadas vulnerables; este es el threat model más accionable publicado para el protocolo en este trimestre.
Si corres MCP servers de terceros en producción, la respuesta inmediata del operador está en tres capas. Primero, audita qué servers usan tus agentes y degrada cualquiera que no controles a scopes de read-only donde el server lo soporte. Segundo, agrega un rate limit por server sobre las llamadas de sampling — el vector de robo de recursos se atrapa más fácil con una cuota que dispare antes que la factura. Tercero, captura transcripts completos de request/response para cualquier MCP server que devuelva contenido conversacional, porque el secuestro de conversación es invisible sin ellos.
La lección estructural más profunda es la que escribimos en el post de threat model: cada primitivo de protocolo es también una superficie de ataque. MCP Sampling existe porque algunos workflows genuinamente necesitan que un server le pida ayuda al modelo del host, pero el mismo primitivo es lo que permite que un server comprometido se reconecte hacia el host. El deep-dive de MCP recorrió el protocolo pieza por pieza; si todavía no lo hiciste, esta es la semana para mapear tus servers de producción contra él.
Lo que estamos vigilando la próxima semana
Cuatro hilos que esperamos que se desarrollen en los próximos siete días.
Incidentes de fallback de Fable 5. Los operadores corriendo cargas mixtas van a empezar a reportar los primeros rechazos de pedidos benignos sobre los clasificadores de ciberseguridad y biología. Esperamos un retrospective público de al menos un cliente de investigación de seguridad para el viernes.
El primer runbook publicado de migración desde Agent Builder. O OpenAI publica la versión oficial o un operador independiente publica el suyo primero; vamos a linkear el mejor.
Guía del AI Act UE. El Panel Científico no va a emitir guía formal en la semana uno, pero el calendario de enforcement de la Comisión pide materiales clarificatorios antes del 2 de agosto. Cualquier cosa que aparezca va a mover lo que los operadores están dispuestos a comprometer.
El primer incidente del MetaMask Agent Wallet. Con 200 puestos vivos y el respaldo de seguro descrito públicamente, alguien va a testear el modo de falla dentro de la cohorte. La primera reclamación pública (pagada o denegada) va a decirnos cómo opera realmente el proceso de cobertura de pérdida.
Volvemos el viernes que viene con cualquiera de estos que aterrice y con lo que se haya movido.