Nederlandse overheid waarschuwt voor omstreden model Anthropic Mythos

In dit artikel:

Anthropic heeft onlangs Mythos gepresenteerd, een AI-model dat automatisch kwetsbaarheden opspoort én deze aan elkaar koppelt tot complete aanvalsketens. In tests ontdekte Mythos duizenden zero-day-zwakheden in grote besturingssystemen en browsers, waaronder een 27 jaar oud TCP-lek in OpenBSD en een 17 jaar oud gat in FreeBSD. Het model behaalde een autonome exploit-succesratio van rond 72 procent (tegen vrijwel nul voor het oudere Opus 4.6) en leverde onder meer 181 werkende exploits voor de JavaScript-engine van Firefox.

Wegens de inherente risico’s biedt Anthropic Mythos niet breed aan, maar lanceerde Project Glasswing: een beperkte coalitie van meer dan 40 partijen — waaronder Amazon, Apple, Microsoft, Google en de Linux Foundation — die het model uitsluitend defensief mogen gebruiken. Anthropic stelt ook gebruikscredits en donaties beschikbaar voor open‑source securitygroepen. Beveiligingsexperts waarschuwen echter dat vergelijkbare capaciteiten binnen zes tot achttien maanden elders kunnen opduiken, ook bij kwaadwillenden.

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) reageert met concrete adviezen: verkort de time‑to‑patch, verbeter basisbeveiliging en bereid je voor op sneller, meer geautomatiseerde aanvallen. Tegelijkertijd raadt het centrum aan AI ook defensief in te zetten (bijv. gedragsdetectie) en wijst het op eerdere lekken waar details over Mythos al uitlekten. Conclusie: organisaties moeten patchmanagement, monitoring en basishygiëne nu stevig opschalen om de toegenomen automatisering van aanvallen het hoofd te bieden.