Mythos ontdekt 10.000 kritieke softwarefouten in een maand tijd

dinsdag, 26 mei 2026 (10:26) - Techzine

In dit artikel:

Anthropic’s Project Glasswing leverde binnen een maand opvallende resultaten op: het model Claude Mythos Preview, ingezet samen met circa 50 partners (onder anderen Cloudflare, Palo Alto Networks, grote banken), bracht meer dan 10.000 kwetsbaarheden met hoge of kritieke ernst aan het licht in systeemkritische software. Cloudflare ontdekte alleen al ongeveer 2.000 bugs, waarvan 400 als ernstig of kritiek werden ingeschat; het bedrijf meldt een lager valse-positiefpercentage dan menselijke testers.

Parallel scande Anthropic ruim 1.000 open-sourceprojecten met Mythos Preview. Daaruit kwamen 23.019 bevindingen, waarvan het model 6.202 als hoog of kritiek classificeerde. Onafhankelijke beveiligingsbedrijven bevestigden 1.752 van die meldingen, met een validatiegraad van 90,6 procent. Een concreet voorbeeld is CVE-2026-5194 in wolfSSL: Mythos kon een werkende exploit construeren waarmee een aanvaller valse bank- of e-mailsites kon hosten. Ondanks de grote aantallen zijn vooralsnog maar 75 van de 530 gepubliceerde hoge of kritieke bugs gepatcht; veel open-sourcebeheerders verzoeken zelfs om vertraging in de openbaarmaking, omdat het gemiddeld zo’n twee weken kost om zo’n bug te verhelpen.

Anthropic erkent dat de bottleneck niet het vinden van kwetsbaarheden is, maar het menselijke vermogen om ze te triageren, rapporteren en repareren. Om het remmende effect te verminderen heeft het bedrijf partners toestemming gegeven hun bevindingen ruimer te delen met toezichthouders en projectbeheerders. Tegelijk zet Anthropic nieuwe, gecontroleerde producten en tooling in de markt: Claude Security (op Claude Opus 4.7) draait in enterprise-bèta en hielp in drie weken ruim 2.100 kwetsbaarheden oplossen. Voor partners is ook agentachtige tooling beschikbaar (codebase-harnas, scannende subagenten, threat-model builder) en er bestaat een Cyber Verification Program dat gescreende beveiligingsprofessionals beperkte toegang tot modellen verleent.

Mythos Preview zelf blijft gesloten voor publiek gebruik; Anthropic stelt dat er nog onvoldoende beveiligingsmaatregelen bestaan voor brede uitrol van dergelijke krachtige modellen. Overheden — onder meer de Nederlandse — hebben al zorgen geuit over het potentieel voor het autonoom samenstellen van aanvalsketens. De volgende stap is uitbreiding van Glasswing naar extra partners, waaronder Amerikaanse en geallieerde overheden, met een mogelijke algemene release van Mythos pas nadat sterkere beschermingen zijn ingebouwd.

Kortom: AI-tools kunnen het tempo van kwetsbaarheidsdetectie exponentieel opvoeren, maar creëren een dringende behoefte aan snellere, gestructureerdere triage- en patchprocessen en aan strengere veiligheidsmaatregelen bij breed gebruik.