De nieuwe AI-tool Claude Mythos van Anthropic verandert het cyberveiligheidsspel door zowel verdedigers als aanvallers krachtiger te maken. Het is een dubbelzijdig zwaard dat lang verborgen softwarefouten kan ontdekken en deze kennis vervolgens kan omzetten in concrete aanvalsmethodes. Voor ondernemers betekent dit dat de dreiging sneller en geavanceerder kan worden, maar dat hun eigen verdediging ook slimmer kan.
Wat er aan de hand is
Anthropic, het bedrijf achter de AI-assistent Claude, heeft een nieuw AI-model genaamd Mythos ontwikkeld. Volgens het artikel in Fast Company kan dit model gespecialiseerd worden in het vinden van “lang verborgen bugs” – kwetsbaarheden in software die al jaren onopgemerkt zijn – en deze vervolgens omzetten in werkende “exploits”, de methodes om die kwetsbaarheden daadwerkelijk aan te vallen. Het debat in de cybersecurity-wereld, zoals geschetst in het artikel, draait om de vraag of een dergelijke tool vooral een zegen is voor verdedigers die kwetsbaarheden willen dichten, of een vloek omdat het kwaadwillenden een krachtig nieuw wapen in handen geeft. Experts zijn verdeeld: sommigen zien het als een versneller van bedreigingen, anderen als een kans om verdediging te automatiseren.
Wat dit betekent
De komst van tools als Mythos versnelt de cyber-armsrace aanzienlijk. Processen die voorheen specialistische kennis en veel handmatig werk vereisten, kunnen geautomatiseerd worden. Dit heeft directe gevolgen voor bedrijven van elke omvang. Voor het MKB betekent dit dat de technische drempel voor geavanceerde aanvallen mogelijk daalt, waardoor ook kleinere bedrijven een interessanter doelwit kunnen worden. Tegelijkertijd biedt het kansen voor bedrijven die hun eigen cyberverdediging willen professionaliseren: het opsporen van eigen kwetsbaarheden kan sneller en mogelijk goedkoper. De kernvraag wordt niet langer of je systeem kwetsbaarheden heeft, maar hoe snel je ze kunt vinden en repareren voordat geautomatiseerde tools ze ontdekken.
Hoe je dit kunt toepassen
De praktische impact van deze ontwikkeling hangt sterk af van jouw specifieke situatie en sector. Het is geen kwestie van één tool aan- of uitzetten, maar van het aanpassen van je mindset en processen rondom digitale veiligheid.
Als je een webshop of online platform runt… is de beschikbaarheid en integriteit van je site cruciaal. Een geautomatiseerde aanval kan sneller toeslaan. Overweeg om de frequentie van je security-scans op te hogen. In plaats van een jaarlijkse penetratietest, zou je kunnen kijken naar maandelijkse of zelfs continue monitoringdiensten die gebruikmaken van AI, om de nieuwe snelheid van bedreigingen bij te benen.
Als je een software-ontwikkelingsbedrijf hebt of interne software gebruikt… wordt de kwaliteit van je code direct een security-kwestie. Een mogelijkheid is om AI-gestuurde code-analyse tools (SAST) eerder en vaker in je ontwikkelproces in te bouwen, niet alleen aan het eind. Dit helpt bij het vinden van die “lang verborgen bugs” voordat anderen dat doen.
Als je een team aanstuurt en verantwoordelijk bent voor bedrijfscontinuïteit… is bewustwording key. Je zou kunnen starten met een gesprek over “supply chain-aanvallen”: kwetsbaarheden in software van leveranciers die jij gebruikt. Vraag je IT-leverancier of softwarepartner naar hun beleid rondom het proactief opsporen van kwetsbaarheden met moderne methoden.
Als je in een sector werkt met gevoelige data, zoals de zorg, financiën of advocatuur… ligt de nadruk op responssnelheid. Een optie is om je incident response plan te herzien met een scenario waarin een kwetsbaarheid in veelgebruikte software (zoals een boekhoudpakket of patiëntendossier-systeem) plotseling actief wordt uitgebuit. Hoe snel kun je een patch uitrollen of een workaround implementeren?
De essentie is dat de opkomst van AI zoals Mythos de cyberrisico’s niet fundamenteel verandert, maar de snelheid en schaal ervan wel. Het antwoord ligt daarom niet in paniek, maar in het versnellen en versterken van je eigen verdedigende processen.
Bron: Fast Company