Met de geavanceerde ai-tool Claude Mythos Preview zijn inmiddels meer dan tienduizend ernstige of kritieke kwetsbaarheden gevonden in de meest systeemrelevante software ter wereld. Met vijftig partners scande het ai-bedrijf Anthropic de afgelopen maanden meer dan duizend open-sourceprojecten die samen een groot deel van het internet ondersteunen. Mythos spoorde bij het project Glasswing al 23.019 kwetsbaarheden op waarvan 6.202 ernstig of kritiek waren.
Vergeleken met Anthropics vorige model Opus 4.6 presteert Mythos dat nog niet voor het publiek is vrijgegeven, aanzienlijk beter. In bijna elk besturingssysteem en iedere webbrowser ontdekte de tool ‘bugs’. Neem bijvoorbeeld Firefox waarin 423 lekken werden gevonden. Zelfs het bijna onkraakbaar geachte MacOS blijkt niet onfeilbaar. Anthropics-partner Cloudflare vond met Mythos tweeduizend bugs. Meest verontrustend is dat Mythos Preview kwetsbaarheden blijkt te kunnen omzetten in exploitatiemogelijkheden en deze mogelijkheden vervolgens kan combineren tot complete aanvalsketens.
Uitstel betekent afstel
Het is dus zaak dat de enorme aantallen kwetsbaarheden heel snel worden gepatcht. Uitstel is geen optie. Dit vereist een grote paraatheid van cyberbeveiligers die deze systemen moeten beschermen tegen aanvallers die van ai gebruik maken. Ai versnelt namelijk niet alleen de verdediging – die nu eerder weet waar de zwakke plekken zitten – maar ook de handelswijze van cybercriminelen die dezelfde technologie voor aanvallen kunnen gebruiken. Alles gaat zo snel dat tijdige anticipatie nodig is. Aanvallen moeten worden voorkomen voordat ze schade kunnen veroorzaken. Het is een race tegen de klok.
De verwachting is dat de ai om kwetsbaarheden te ontdekken zeer binnenkort op grote schaal in verkeerde handen terechtkomt. Daarvoor is niet eens software van het kaliber Mythos nodig. Ook minder krachtige ai vormt een potentieel breekijzer. Voorlopig houdt Anthropic het model Mythos, dat niet alleen voor hacken maar ook voor andere toepassingen geschikt is, achter slot en grendel.
Replicatie
Maar gevaar dreigt ook van elders. Binnen enkele maanden valt een replicatie van de mogelijkheden – die ai-modellen van het niveau Mythos bieden – te verwachten in open-sourcemodellen. Dit gebeurt al met openbare grote taalmodellen (llm’s). Kwaadwillende ontwikkelaars weten op die manier gelijkwaardige mogelijkheden te misbruiken
Dan kan in principe iedereen hiermee aan de gang gaan met alle gevaren vandien. Een golf dreigt van cyberaanvallen, geautomatiseerde fraude en andere schadelijke toepassingen. De frequentie en intensiteit hiervan nemen toe.
Deze technologie werkt als een soort loper, een sleutel waarmee aanvallers zonder een security-achtergrond heel snel en tegen lage kosten toegang kunnen krijgen tot kritische it-infrastructuur. De vrees bestaat dat menselijke securityteams dit tempo niet kunnen bijhouden. Extra zorgelijk ook is dat tegenstanders met weinig technische kennis nu nog gemakkelijker systemen kunnen aanvallen.
Hete zomer
Om deze redenen maakt de cybersecurity-wereld zich op voor een lange hete zomer. Weerbaarheid tegen misbruik van ai-modellen kost veel inzet en energie. De CISO Community Nederland waarschuwde in april al voor de opkomst van deze nieuwe generatie ai-modellen. Het potentieel voor disruptie is enorm, waarschuwt Dimitri van Zandvliet, voorzitter van deze gemeenschap. Europarlementariër Bart Groothuis vreest deze zomer een cyber-bloedbad. Het Amsterdamse securitybedrijf Hadrian toonde onlangs aan hoe gemakkelijk en goedkoop het is om in systemen binnen te dringen.
Chefsache
‘Enterprise vulnerability management’ verdient de hoogste prioriteit van de ondernemingsleiding. Cybersecurity is geen zaak om alleen aan cio’s en ciso’s over te laten. Het is geen it-probleem dat je aan hen kunt delegeren, maar chefsache.
Tijdens de Cisoday 2026 werd onderkend dat zo snel mogelijk dit gevaar moet worden ingedamd. Wacht geen moment meer met de digitale verdediging, is de boodschap. Wie denkt de kat uit de boom te kunnen kijken, komt straks bedrogen uit. Ook het Nationaal Cyber Security Centrum (NCSC) maant tot spoed.
Het gebruik van ai om kwetsbaarheden te vinden is overigens niet zonder risico’s, stelt het Britse National Cyber Security Centre. Hoe je je moet voorbereiden op een golf aan patches valt hier te lezen.
