Achtergrond - Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden

In dit artikel:

Anthropic heeft ervoor gekozen Claude Mythos niet breed uit te rollen omdat het model tijdens tests onverwacht veel zeroday-kwetsbaarheden ontdekte en zelfs in staat bleek exploits te genereren. Mythos vond kwetsbaarheden in grote besturingssystemen en browsers, waaronder lang bestaande lekken in OpenBSD en een vijftien jaar oude fout in FFmpeg die eerdere onderzoekers en automatische tools gemist hadden. Vanwege het risico dat kwaadwillenden met zo’n hulpmiddel snel en op grote schaal schadelijke exploits kunnen maken, blijft de toegang strikt beperkt.

In plaats van een publieke release is Mythos alleen beschikbaar voor ongeveer veertig geselecteerde organisaties, vooral grote aanbieders van software en cloudplatforms; een deel van die deelnemers is publiek bekend, de rest houdt Anthropic geheim. Toegang verloopt via Project Glasswing en verloopt via afgesloten enterprise‑omgevingen zoals Amazon Bedrock, Microsoft Foundry en Google Vertex AI. Het model kan niet op eigen hardware worden gedraaid en de interne modelgewichten blijven vertrouwelijk. Anthropic werkt samen met professionele beveiligingsbedrijven die elk bugrapport handmatig controleren voordat het aan ontwikkelaars wordt vrijgegeven.

De beslissing werpt meerdere vragen op. Technisch leidt de komst van zulke krachtige modellen tot een snelle toename van aangemaakte kwetsbaarheden en exploits, wat de werklast voor triage en patchmanagement enorm vergroot. Softwareleveranciers moeten updates sneller implementeren, automatische updates waar mogelijk inschakelen en afhankelijkheden met veiligheidsfixes als urgent behandelen. Anthropic schat dat andere AI‑systemen binnen zes maanden tot een jaar vergelijkbare capaciteiten kunnen bereiken, waardoor verdedigers tijdig ervaring met deze tools moeten opdoen.

Politiek en ethisch spelen ook zorgen: Anthropic bepaalt welke partijen toegang krijgen, en die selectie lijkt te bevoordelen wie al veel van het internet beheert—wat de geopolitieke verdeling van kennis en voorbereiding kan versterken. De relatie met de Amerikaanse overheid is bovendien complex; het bedrijf stond eerder op een zwarte lijst die een rechter later aanpakte, en er is onzekerheid of regeringsdruk in de toekomst toegang kan afdwingen. Bovendien is Anthropic niet immuun voor lekken: eerder lekte de broncode van Claude Code uit, wat de bezorgdheid over afscherming versterkt.

Anthropic ziet op lange termijn een positief scenario waarin modellen bijdragen aan beter beveiligde software—veel code zal deels dankzij deze systemen veiliger worden—maar waarschuwt dat de overgangsperiode lastig is en extra veiligheidsmechanismen in de sector vereist. Concreet betekent dit dat bedrijven en overheden snel moeten investeren in processen en tooling om de snelle, door AI veroorzaakte toename aan kwetsbaarheden te kunnen verwerken en misbruik te beperken.