Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Hadrian vindt in recordtijd ernstige overheidslekken met goedkope ai

[Afbeelding: Smallroombigdream/Shutterstock]
19 mei 2026 - 07:154 minuten leestijdAchtergrondSecurity & AwarenessHadrianMinisterie van BZK
Rik Sanders
Rik Sanders

Het blijkt kinderspel om met ai binnen te dringen bij de Nederlandse overheid. Het Amsterdamse cybersecuritybedrijf Hadrian vond honderden beveiligingslekken, zo meldt het FD. Bij het ministerie van Binnenlandse Zaken werd zelfs een lek van het hoogste risiconiveau gevonden. Het duurde negen dagen voordat dat lek was gedicht. Hadrian was vooral verbaasd over hoe snel hun ai‑systeem dit allemaal ontdekte: in enkele uren tijd. 

Volgens ceo Rogier Fischer zal ai binnen een jaar in staat zijn om alle kwetsbaarheden in software op te sporen – en dat betekent dat criminelen of vijandige staten er ook snel bij kunnen zijn. Hij benadrukt dat de grote taalmodellen (llm’s) ‘extreem goed ‘ zijn in het vinden van de zwakke plekken, de kwetsbaarheden waarop hackers scannen. Hij bestrijdt de gedachte dat ai-bedrijven als Anthropic en Open AI om redenen van marketing hoog opgeven van de prestaties van hun ai-modellen, met name als het gaat om het opsporen van kwetsbaarheden. Volgens Fischer is de dreiging zo groot dat elke organisatie, van klein tot groot, zich ernstig zorgen moet maken. Het niet-patchen van kwetsbaarheden kan tot veel schade leiden.

Veel gevaar

Niet alleen de overheid maar vooral ook bedrijven en instellingen lopen veel gevaar. Want volgens Fischer blijkt uit de onderzoeken die Hadrian deed, dat het bedrijfsleven qua kwetsbaarheden er nog slechter aan toe is. De gemiddelde opensource-code-gebruiker buiten de overheid scoort lager, zo is zijn indruk. De overheid doet namelijk relatief veel pentesten om kwetsbaarheden in haar systemen op te sporen. 

Hadrian komt begin deze week met een gratis open‑sourceharnas voor pentesten, een ai-tool waaronder een llm zit met een manier van aansturing om er een agent van te maken die geautomatiseerde penetratietests kan doen. Dit harnas bevat instructies, biedt toegang tot bepaalde tools en werkt zonder toegang te hebben tot de source-code.

Hackers-harnas

Het harnas ‘omklemt’ de software‑onderdelen die moeten worden getest en levert wat nodig is om tests automatisch, reproduceerbaar en geïsoleerd uit te voeren. Hadrian heeft dit harnas ontwikkeld als onderdeel van zijn agentische pentest-motor Nova, autonome pentesting die ‘on demand’ draait. Nova kan menselijke pentesters vervangen en bootst de werkwijze van hackers na. Met het gratis harnas kunnen organisaties zelf testen. Fischer maakt zich geen zorgen dat hackers dit misbruiken. Volgens hem hebben zij dit soort middelen allang.

Hij denkt dat het belangrijk is dat bedrijven en overheden ook zelf kunnen speuren naar kwetsbaarheden. Deze ai-tool helpt organisaties beter opgewassen te zijn tegen aanvallen waarbij hackers ai-modellen inzetten. Want die dreiging is nu zeer actueel. 

Open huis bij Open Regels

Om in enkele uren honderden kwetsbaarheden bij de overheid te vinden had Hadrian niet eens het duurste of krachtigste ai‑model nodig. Zelfs goedkopere modellen zoals Deepseek konden de lekken vinden. Hadrian begon met GPT 5.5 van OpenAI, dat volgens Fischer net zo krachtig is als het beruchte Mythos‑model van Anthropic, dat eerder al veel onrust veroorzaakte vanwege zijn hackcapaciteiten.

Het grootste lek zat bij Open Regels, een overheidsdienst die wetten vertaalt naar praktische regels. Volgens Hadrian stond ‘de voordeur wagenwijd open’. De ai vond serverinformatie en zelfs een bestand met inloggegevens. Daarmee kreeg Hadrian toegang tot de database én de Azure‑cloudomgeving. In principe kon een aanvaller daar software aanpassen of ransomware plaatsen.

Een basiscontrole – het checken van het IP‑adres – ontbrak volledig. Het ging om een kritiek P1‑lek. Hadrian meldde dit op 6 mei, maar pas op vrijdag ging de dienst offline om het probleem te verhelpen. Volgens Fischer zou geen enkel bedrijf zo lang wachten. Het ministerie zegt dat de melding door een communicatiefout verkeerd terechtkwam en dat het lek nu niet meer te misbruiken is.

We zien nu pas hoeveel kwetsbaarheden er in dertig jaar softwareontwikkeling zitten

Bij Open Zaak, software die gemeenten gebruiken voor onder meer paspoortaanvragen, vond Hadrian eveneens een ernstig probleem. Het binnendringen was ingewikkeld, maar dankzij ai toch mogelijk. Ook bleken honderden gebruikers te veel rechten te hebben – een fout die een hacker met gestolen inloggegevens veel speelruimte zou geven.

Volgens Fischer gaan we nu pas zien hoeveel kwetsbaarheden er in dertig jaar softwareontwikkeling zitten. De komende twee jaar wordt het hard werken om alles te repareren. Nieuwe software wordt dankzij ai wel veiliger, maar het digitale slagveld blijft bestaan.

Hadrian

Hadrian is vijf jaar geleden opgericht. Het bedrijf kijkt vanuit het perspectief van de hacker naar kwetsbaarheden van online-omgevingen van bedrijven. Het bedrijf voert met behulp van machine learning en cloudtechnologie preventieve aanvallen uit. Onder meer Microsoft-oprichter Bill Gates en Amazon-miljardair Jeff Bezos hebben destijds voor een deel van het startkapitaal gezorgd. Ook voormalig ABN Amro-bankier Chris Vogelzang en voormalig TomTom-bestuurder Alexander Ribbink behoren tot de groep privé-investeerders die Hadrian van de grond hielpen te komen. 

Meer over

AIbeveiligingslekhackOpensource

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    De Nieuwe Realiteit van OT Security

    Waarom kritieke systemen om een andere securityaanpak vragen

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Regelgeving en zorgplicht helpen organisaties om succesvol en veilig te zijn

    Hoe helpen regelgeving en zorgplicht organisaties om succesvol en veilig te zijn?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Cloud & Infrastructuur

    Kabinet kiest voor maximale digitale soevereiniteit

    Cloud & Infrastructuur

    ‘Ai in cloudomgevingen versnipperd en onzichtbaar voor securityteams’

    Overheid

    Kort: Nederland scoort goed op digitale overheid, or­ga­ni­sa­ties kritischer over ot-cy­ber­se­cu­ri­ty (en meer)

    shutterstock_2627527607 Evannovostro 16x9
    Overheid

    Ad­vies­col­le­ge ICT verwijt top­amb­te­na­ren slappe sturing op ict-projecten

    EDIC EU digitaal
    Data & AI

    Europarlementariërs eisen Europese ai-top: ‘Europa dreigt achterop te raken’

    Anthropic
    Data & AI

    Anthropic maakt Fable 5 weer wereldwijd toegankelijk

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs