De cyberbeveiligingsgemeenschap werd alert toen Antropisch kondigde op 7 april 2026 aan dat zijn nieuwste en meest capabele grote taalmodel voor algemene doeleinden, Claude Mythos-previewhad opmerkelijke – en onbedoelde – capaciteiten getoond. De kunstmatige intelligentie systeem was in staat softwarekwetsbaarheden te vinden en te exploiterende ernstigste soorten softwarefouten– in een tempo dat nog niet eerder is gezien.
Het nieuws ontstoken bezorgdheid onder het publiek, de wereldregeringen en de informatietechnologiesector over de mogelijkheden van de huidige AI om de cyberveiligheid te ondermijnen, waarbij sommige mensen het model als een mondiale cyberveiligheidsdreiging.
Beweren dat het te riskant zou zijn om het model uit te brengen, en dat het bedrijf het had morele verantwoordelijkheid Om deze kwetsbaarheden openbaar te maken, zei Anthropic dat het het model niet onmiddellijk aan het publiek zou aanbieden. In plaats daarvan verleende het exclusieve toegang aan technologiegiganten om de mogelijkheden van het model te testen, een proces dat Antropisch werd genoemd “Project Glasvleugel.”
Als een onderzoeker op het gebied van cyberveiligheidIk denk dat de mogelijkheden van Mythos indrukwekkend zijn, maar het AI-systeem vertegenwoordigt geen radicaal vertrekpunt. Mythos is niet zozeer een nieuwe bedreiging als wel een spiegel die weerspiegelt hoe mensen zich gedragen en hoe kwetsbaar moderne systemen al zijn.
Wat Mythos deed
Tijdens een gecontroleerde evaluatie wordt ingenieurs met minimale beveiligingservaring bracht Mythos ertoe duizenden softwarecodebases te scannen op kwetsbaarheden. Het model toonde opvallende mogelijkheden voor het uitvoeren van meerstaps, autonome aanvallen die experts weken of zelfs maanden kosten om samen te stellen. Mythos kon niet alleen 271 kwetsbaarheden in Mozilla’s Firefox ontdekken, maar ontwikkelde ook exploits om van 181 daarvan te profiteren.
Over het geheel genomen het rode team van Anthropic, dat de rol van aanvaller op zich neemt verdedigingswerken te testenen die van Groot-Brittannië AI-beveiligingsinstituut meldde dat Mythos duizenden gevonden van nul-dagof voorheen niet gerapporteerde, kwetsbaarheden in belangrijke besturingssystemen, webbrowsers en andere applicaties: softwarefouten die nog niet zijn gepatcht en die onmiddellijk in exploits kunnen worden omgezet. Ambtenaren van de National Security Agency hebben Mythos getest onder de indruk van de snelheid en efficiëntie van het gereedschap bij het vinden van softwarekwetsbaarheden, aldus een nieuwsbericht.
Anthropic’s aankondiging van Mythos en de cyberveiligheidsdreiging die het met zich meebrengt, zorgde voor brede media-aandacht.
Een van de meest gemelde problemen was het vermogen van Mythos om een sluimerend 27 jaar oud beveiligingslek te identificeren OpenBSDeen op beveiliging gericht besturingssysteem en een 16 jaar oude bug FFmpegeen hulpmiddel voor video-/audioverwerking. Sommige van deze fouten zorgen ervoor dat niet-geverifieerde gebruikers controle kunnen krijgen over de machines waarop deze applicaties worden gehost.
Nog opvallender was dat de relatief onervaren ingenieurs die de evaluaties van Mythos uitvoerden, Mythos konden gebruiken om aanvallen van de ene op de andere dag uit te voeren, van het vinden van kwetsbaarheden tot het exploiteren ervan – iets waar menselijke experts weken over kunnen doen. Het vermogen van het model om meerdere stappen aan elkaar te koppelen, verraste Anthropic en organisaties die het probeerden. In een evaluatie van het AI Security Institute was Mythos dat wel kunnen overnemen A gesimuleerd bedrijfsnetwerk in drie van de tien pogingen het eerste AI-model dat daarin slaagde.
Deze resultaten zijn reëel. Ze schetsen ook een onvolledig beeld op manieren die er toe doen.
Waar ligt de doorbraak?
Op het eerste gezicht klinkt de doorbraak van Mythos nieuw en zou een nieuwe klasse van cyberdreigingen kunnen signaleren. Bij nadere beschouwing blijkt echter iets anders. De kwetsbaarheden die Mythos heeft gevonden zijn niet nieuw van aard. Zij over het algemeen niet tot onbekende beveiligingsfouten behorenen in veel gevallen zijn het variaties op bekende en goed begrepen klassen van softwarekwetsbaarheden.
Op het gebied van cyberbeveiliging is het vinden van nieuwe gevallen van bekende soorten fouten niet ongebruikelijk. De meest succesvolle aanvallen vertrouwen op bekendgoed gedefinieerde kwetsbaarheden die over het hoofd worden gezien of niet worden gepatcht. Wat de onderzoekers zorgen baarde, was niet dat Mythos de aard van het vinden en exploiteren van kwetsbaarheden veranderde, maar eerder de intensiteit ervan schaal en snelheid waarmee zij deze kwetsbaarheden kon opsporen en exploiteren.
Dit is niet per se een doorbraak, maar eerder het resultaat van tientallen jaren onderzoek op het gebied van zowel cyberbeveiliging als AI. In die zin is Mythos het natuurlijke – en verwachte – resultaat van krachtige automatisering en AI-integratie, omdat het dezelfde fundamentele procedures volgt die worden gebruikt in standaard offensieve cyberbeveiligingspraktijken. Deze omvatten het scannen op kwetsbaarheden, het identificeren van patronen en het testen van de exploiteerbaarheid. Mythos en soortgelijke opkomende modellen maken het mogelijk om deze stappen aan elkaar te koppelen met een snelheid die moeilijk te doorgronden is.
Dus waarom werden deze kwetsbaarheden überhaupt gemist?
Het is van cruciaal belang om te begrijpen dat niet alle kwetsbaarheden kosteneffectief kunnen worden opgelost en dat niet alle kwetsbaarheden prioriteit hebben. Mythos ontdekte geen nieuw soort zwakte; het legde de grenzen bloot van de manier waarop cybersecurity-professionals ernaar zoeken.
Nieuwe technologie, eeuwenoude dynamiek
Mythos benadrukt een belangrijk feit over de realiteit van cyberveiligheidsbedreigingen. Systeemverdedigers zijn altijd in het nadeel omdat ze altijd moeten slagen. Aanvallers hoeven er echter maar één keer in te slagen om de beveiliging van een systeem te doorbreken. Dit kat-en-muisspel zal altijd hetzelfde zijn, en Mythos verandert daar niets aan; het versterkt het alleen maar.
Mythos volgt een bekende dynamiek: een hulpmiddel dat is gemaakt om te beschermen, kan ook worden gebruikt om aan te vallen en schade toe te brengen.
“Dezelfde verbeteringen die het model aanzienlijk effectiever maken in het patchen van kwetsbaarheden, maken het ook aanzienlijk effectiever in het exploiteren ervan”, schreven Anthropic-functionarissen in een blogpost over Mythos.
Wat ooit zeer gespecialiseerde vaardigheden vereiste, kan nu met aanzienlijk minder inspanning worden bereikt, wat de belangrijkste vraag oproept: wie zal er als eerste van profiteren door tools als Mythos te gebruiken: verdedigers of aanvallers?
Mohammed Ahmad is universitair docent managementinformatiesystemen bij Universiteit van West-Virginia.
Dit artikel is opnieuw gepubliceerd van Het gesprek onder een Creative Commons-licentie. Lees de origineel artikel.
