De AI die duizenden kwetsbaarheden vond

dinsdag, 5 mei 2026 (12:40) - Techzine

In dit artikel:

Anthropic’s nieuwe AI-model Claude Mythos blijkt volgens recente berichtgeving veel krachtiger in het opsporen van softwarefouten dan verwacht — en dat heeft verstrekkende veiligheidsgevolgen. Het systeem werd losgelaten op veelgebruikte open‑sourceprojecten (onder andere besturingssystemen en browsers) en zou “duizenden” kwetsbaarheden hebben gevonden, inclusief onbekende zero‑days. Opvallende voorbeelden zijn een 27 jaar oude kwetsbaarheid in OpenBSD en nieuwe lekken in Linux; Mythos kon bovendien meerdere zwaktes aan elkaar knopen tot bruikbare exploits.

Wie: Anthropic ontwikkelde Mythos; de analyse in het artikel komt van Fox‑IT (ingezonden bijdrage). Toegang tot het systeem is voorlopig beperkt via Project Glasswing: alleen grote techbedrijven, geselecteerde cybersecurityorganisaties en steun voor sommige open‑sourcegroepen krijgen toegang. Toch waarschuwen experts dat die beperking mogelijk tijdelijk is en dat dergelijke tools snel verspreid kunnen raken.

Wat en waar: Mythos scant grootschalig codebases van veelgebruikte open‑sourcesoftware en identificeert fouten die eerder onopgemerkt bleven. Het vermogen om zero‑days snel te genereren en zwaktes te combineren maakt het tot een efficiënte producent van digitale wapens, met potentieel misbruik op criminele markten of in cyberconflicten.

Wanneer: de bevindingen betreffen recente tests en berichtgeving; concrete data ontbreken, maar de gevolgen zijn actueel omdat veel systemen al langere tijd met kwetsbaarheden in hun fundament leven.

Waarom dit problematisch is: traditionele cybersecurity rust deels op de moeilijkheidsgraad van het vinden van ernstige fouten — het kost tijd, expertise en voorzichtig testen voordat patches veilig uitgerold kunnen worden. Mythos verandert die dynamiek: ontdekkingen worden drastisch versneld, terwijl het proces om patches te ontwikkelen, te testen en veilig te implementeren juist traag en risicovol blijft, zeker binnen banken, ziekenhuizen en andere kritieke infrastructuren. Die kloof vergroot het aanvalsoppervlak: meer bekende maar ongerepareerde kwetsbaarheden betekent meer kansen voor aanvallers.

Systemisch risico en complexiteit: veel moderne software is opgebouwd uit lange ketens van verouderde code en onderlinge afhankelijkheden. Kleine, moeilijk te voorziene interacties tussen componenten veroorzaken veel fouten — niet altijd door duidelijke programmeerfouten, maar door gedrag “tussen” de code. Omdat veel systemen dezelfde basis delen, kan een enkele kwetsbaarheid miljoenen apparaten tegelijk raken; dat gebeurde volgens het stuk al eerder, bijvoorbeeld bij de SalesForce‑hack van 2025.

Tegelijkertijd zit er een paradox in de technologie: AI kan niet alleen kwetsbaarheden vinden maar ook helpen herstellen — door patches te genereren, te testen of software fundamenteel opnieuw te ontwerpen. Een andere mogelijke tegenreactie is dat AI het makkelijker maakt om gepersonaliseerde of minder gestandaardiseerde toepassingen te bouwen, waardoor één kwetsbaarheid minder wijdverspreide impact heeft, ook al neemt het totale aantal bugs kan toenemen.

Conclusie: Mythos legt verborgen structurele zwaktes bloot en markeert een kantelpunt waarin ons vermogen om software te maken sneller groeit dan ons vermogen om die software te begrijpen en veilig te houden. Dat betekent niet per se een onmiddellijke instorting van digitale systemen, maar wel een transitie van proactief beheer naar veel meer reactief optreden. De uitdaging wordt niet alleen technische detectie maar vooral beheersing, regulering en het herontwerpen van hoe we software bouwen en onderhouden.