Mythos Preview: technologie versnelt, maar de menselijke laag blijft cruciaal

In dit artikel:

Anthropic heeft Mythos Preview aangekondigd, een AI‑model dat zelfstandig duizenden zero‑day kwetsbaarheden in grote besturingssystemen en webbrowsers heeft opgespoord en in veel gevallen ook autonoom heeft uitgebuit. Onder de gevonden problemen bevinden zich oude, nog onopgeloste fouten zoals een 27 jaar oude TCP SACK‑bug in OpenBSD, een 16 jaar oude fout in de H.264‑codec van FFmpeg en een 17 jaar oude remote‑code‑execution in de NFS‑server van FreeBSD (CVE‑2026‑4747). Waar eerdere tooling vooral bij detectie bleef, claimt Anthropic dat Mythos Preview niet alleen bugs identificeert maar ook werkende exploits genereert met een succesratio van 72,4%.

Het model wordt niet publiekelijk vrijgegeven. In plaats daarvan heeft Anthropic Project Glasswing opgericht: een defensieve coalitie met meer dan veertig organisaties — waaronder AWS, Apple, Google, Microsoft, CrowdStrike, Cisco, JPMorgan Chase, de Linux Foundation, Nvidia, Broadcom en Palo Alto Networks — die toegang krijgen om kwetsbaarheden te vinden en te dichten. Anthropic stelt daarbij tot 100 miljoen dollar aan gebruikscredits en 4 miljoen dollar aan donaties beschikbaar voor open‑source beveiligingsgroepen.

Niet iedereen accepteert de claims zonder meer. Onderzoekers en belangenbehartigers zoals Heidy Khlaaf en beveiligingsexperts als Marcus Hutchins waarschuwen dat inzicht nodig is in het aantal false positives en in hoe menselijke controle en verificatie plaatsvinden. Anthropic erkent technische mitigaties, maar waarschuwt tegelijk dat kwaadwillenden naar verwachting binnen zes tot achttien maanden vergelijkbare capaciteiten zullen ontwikkelen — en dat er op dark‑web al jailbreaks circuleren die modelbeperkingen omzeilen.

Belangrijke consequentie: verdediging moet verschuiven van alleen technische maatregelen naar een bredere, op gedrag gebaseerde aanpak. Omdat AI de tijd tussen ontdekking en uitbuiting flink kan verkorten, blijven mensen cruciaal op drie terreinen: initiële toegang (phishing, CEO‑fraude en social engineering blijven de belangrijkste ingangen), menselijk oordeel voor prioritering en triage van bevindingen, en eindverantwoordelijkheid en toezicht op AI‑agenten.

Praktische adviezen uit de bijdrage zijn versterking van basisveiligheid: scherp patchmanagement, betere monitoring om detectie‑ en reactietijden te verkorten, en robuuste back‑up en herstelplannen om de impact van incidenten te beperken. Mythos Preview onderstreept dat organisaties niet alleen technologische maatregelen moeten aanscherpen, maar ook governance en samenwerking tussen mens en machine moeten vormgeven.

Deze tekst is een ingezonden bijdrage van KnowBe4 en plaatst Anthropics bekendmaking in de context van een breder debat over risico’s, verantwoording en de noodzaak van adaptieve verdediging.