Uw gegevens. Uw keuze.

Als je alleen het noodzakelijke kiest, verzamelen we met cookies en vergelijkbare technologieën informatie over je apparaat en je gebruik van onze website. Deze hebben we nodig om je bijvoorbeeld een veilige login en basisfuncties zoals het winkelwagentje te kunnen bieden.

Als je overal mee instemt, kunnen we deze gegevens daarnaast gebruiken om je gepersonaliseerde aanbiedingen te tonen, onze website te verbeteren en gerichte advertenties te laten zien op onze eigen en andere websites of apps. Bepaalde gegevens kunnen hiervoor ook worden gedeeld met derden en advertentiepartners.

Wettelijke kennisgevingPrivacybeleid
Shutterstock
Achtergrond
21

Nieuw AI-model brengt IT-beveiliging in gevaar en verhoogt deze tegelijkertijd

David Lee
9-4-2026
Vertaling: machinaal vertaald

Van Anthropic's nieuwe AI-model Mythos wordt gezegd dat het zo goed is in het herkennen en uitbuiten van zwakke plekken in de IT-beveiliging, dat het niet eens wordt gepubliceerd. Is het meer dan alleen een PR actie?

Anthropic heeft een nieuw AI-model ontwikkeld met de naam Claude Mythos Preview (kortweg Mythos). Het is een Large Language Model (LLM) voor algemene doeleinden, maar volgens Anthropic is het vooral sterk in het detecteren van IT-beveiligingslekken. Mythos heeft naar verluidt al duizenden ernstige, voorheen onbekende kwetsbaarheden gevonden, waaronder die in alle grote besturingssystemen en webbrowsers.

Volgens Anthropic kan Mythos niet alleen de kwetsbaarheden identificeren, maar sommige ook verhelpen. Aan de andere kant programmeert de tool op verzoek ook werkende exploits, dat wil zeggen code die daadwerkelijk misbruik maakt van de kwetsbaarheid. Mythos heeft dus de potentie om de IT-beveiliging enorm te verbeteren - maar ook om enorme schade aan te richten als het in verkeerde handen valt.

Mythos herkent kwetsbaarheden niet alleen vaker, maar kan ze ook veel vaker misbruiken dan Claude Opus.
Mythos herkent kwetsbaarheden niet alleen vaker, maar kan ze ook veel vaker misbruiken dan Claude Opus.
Bron: Anthropic

Het model is momenteel niet beschikbaar voor het grote publiek. In plaats daarvan heeft Anthropic
project Glasswing gelanceerd: Geselecteerde belanghebbenden krijgen toegang om beveiligingsproblemen op te lossen.

Hieronder zijn Apple, Google, Microsoft en de Linux Foundation, de ontwikkelaars van de belangrijkste besturingssystemen en webbrowsers. Amazon Web Services, Anthropic, Broadcom, Cisco, Crowdstrike, JPMorgan Chase, Nvidia en Palo Alto Networks zijn ook betrokken. En meer dan 40 andere bedrijven en organisaties die niet bij naam worden genoemd.

Indrukwekkende voorbeelden

Mythos vindt ook beveiligingslekken in software die als bijzonder veilig wordt beschouwd en ontelbare keren is getest. Als voorbeeld noemt Anthropic een bug in het Free BSD besturingssysteem die blijkbaar 27 jaar lang onontdekt is gebleven. Het enige wat nodig is, is een verbinding op afstand om een computer te laten crashen. Free BSD wordt vaak gebruikt voor servers en firewalls vanwege het hoge beveiligingsniveau.

Een ander voorbeeld betreft de videosoftware FFmpeg. Een bug daarin is 16 jaar lang niet ontdekt, ondanks miljoenen automatische beveiligingsscans. Een derde voorbeeld betreft de Linux kernel. Volgens Anthropic maakt een combinatie van verschillende kwetsbaarheden het mogelijk om volledige controle over de computer te krijgen.

Aangezien deze kwetsbaarheden nu verholpen zijn, heeft Anthropic technische details gepubliceerd.

Vragen blijven

Anthropic wil dit najaar naar de beurs en heeft daar kapitaal voor nodig. Dit rapport moet ook in dit licht worden gelezen: Als een indicatie aan potentiële investeerders dat Anthropic de meest schaamteloze tools aan het ontwikkelen is. De getoonde voorbeelden zijn echter indrukwekkend en de claim dat Mythos bijzonder effectief is als het gaat om IT-beveiliging lijkt over het geheel genomen geloofwaardig.

Het feit dat de tool op dit moment niet wordt vrijgegeven is waarschijnlijk ook een goede beslissing. Een tool die in één klap duizenden ernstige beveiligingslekken blootlegt, mag nooit in verkeerde handen vallen. Als de ontwikkelaars de kwetsbaarheden echter snel verhelpen, zou het de veiligheid zelfs kunnen verhogen.

Er zijn echter verschillende onbeantwoorde vragen op dit punt. Ten eerste of de software echt achter slot en grendel kan worden gehouden. En of Anthropic dit wel wil - Mythos is tenslotte niet ontwikkeld als beveiligingshulpmiddel, maar als een AI voor algemeen gebruik voor wijdverspreid gebruik. Maar zelfs als Mythos ongepubliceerd blijft, zullen concurrerende modellen waarschijnlijk snel op een vergelijkbaar niveau zitten. Het is ook denkbaar dat bijvoorbeeld inlichtingendiensten al AI-modellen hebben die vergelijkbare dingen doen. In ieder geval doen de ontwikkelaars er goed aan om nu vol gas te geven om de hiaten weg te werken.

Zoals altijd in dit soort gevallen is het niet duidelijk of de ontdekte kwetsbaarheden alleen bij de ontwikkelaars of bij de mensheid als geheel onbekend zijn. Veel zero-day kwetsbaarheden worden verborgen gehouden en tegen hoge prijzen verkocht op de zwarte markt. Op deze markt zijn niet alleen criminelen actief, maar ook geheime diensten of de politie (trefwoord: staatstrojans). Als we aannemen dat veel van deze kwetsbaarheden al bekend zijn in de ondergrondse, misschien zelfs met werkende exploits, dan zou deze AI-tool een verbetering van de beveiliging moeten betekenen.

Is er wel een verbod?

En tot slot is er de kwestie van overheidsregulering. De AI-verordening van de EU deelt AI-toepassingen in in verschillende risiconiveaus. De tools die op dit moment toegankelijk zijn voor gewone gebruikers worden beschouwd als voorbeelden van het op één na laagste niveau «beperkt risico», dat geen verdere eisen oplegt behalve een transparantieverplichting. Maar het zou hier anders kunnen zijn. Ik ben geen jurist, maar ik heb begrepen dat een AI die kan worden gebruikt om kritieke infrastructuur aan te vallen zonder speciale kennis, valt onder het niveau «onaanvaardbaar risico» - wat zou leiden tot een verbod.

De vier risiconiveaus van de EU-verordening.
De vier risiconiveaus van de EU-verordening.
Bron: digital-strategy.ec.europa.eu
Omslagfoto: Shutterstock

2 mensen vinden dit artikel leuk

User Avatar
User Avatar
David Lee
Senior Editor
David.Lee@digitecgalaxus.ch

Mijn belangstelling voor computers en schrijven leidde me relatief vroeg (2000) naar de technische journalistiek. Ik ben geïnteresseerd in hoe je technologie kunt gebruiken zonder gebruikt te worden. In mijn vrije tijd maak ik graag muziek waarbij ik mijn gemiddelde talent compenseer met een enorme passie. 

Achtergrond

Interessante feiten uit de wereld van producten, een kijkje achter de schermen van fabrikanten en portretten van interessante mensen.

Alles tonen

Deze artikelen kunnen je ook interesseren

  • Achtergrond

    Agenten in plaats van chatbots: waarom OpenClaw op dit moment iedereen elektriseert

    van Luca Fontana

  • Achtergrond

    Beeldruis verwijderen: zelfbenoemde testwinnaar met groteske resultaten

    van David Lee

  • Achtergrond

    Internationale Vrouwendag: 5 werken die je op je radar moet hebben

    van Pia Seidel

1 commentaar

Avatar
later