Het nieuwe AI-model Claude Mythos Preview van Anthropic is zo krachtig dat het bedrijf het bewust niet publiek uitbrengt. Het model kan zelfstandig beveiligingslekken in software opsporen, maar even goed de exploits ontwikkelen om die lekken te misbruiken. Deze dubbelzijdigheid maakt het tot een van de meest controversiële AI-releases en markeert een fundamentele verschuiving in de schaalbaarheid van cyberdreigingen.

Wat er aan de hand is

Anthropic heeft een nieuw AI-model ontwikkeld, Claude Mythos Preview, dat volgens het bedrijf een zodanig niveau van programmeervaardigheid heeft bereikt dat het elke mens, behalve de meest vaardigen, kan overtreffen in het vinden en misbruiken van kwetsbaarheden. Het model wordt niet publiek uitgebracht, maar via Project Glasswing uitgerold naar een selecte groep van tientallen technologiebedrijven en organisaties die kritieke software-infrastructuur bouwen of beheren. Deelnemers zijn onder meer Amazon Web Services, Apple, Google, Microsoft, Nvidia, Cisco, CrowdStrike en Palo Alto Networks. Anthropic investeert honderd miljoen dollar aan gebruikerscredits en vier miljoen dollar aan donaties aan opensource-beveiligingsorganisaties voor dit project. Het model heeft volgens de aankondiging al duizenden ernstige kwetsbaarheden gevonden in elk groot besturingssysteem en elke grote webbrowser, waarvan sommige al 27 jaar onopgemerkt waren gebleven.

Wat dit betekent

Dit betekent een fundamentele verschuiving in de cyberbeveiligingslandscape. Experts zoals Jonathan Zanger van Check Point Software Technologies noemen dit het tijdperk van de ‘AI attack factory’, waarbij aanvallen systematisch, schaalbaar en reproduceerbaar worden, vergelijkbaar met softwareproductie. Voor ondernemers en professionals betekent dit dat de dreiging niet langer alleen van menselijke hackers komt, maar van geautomatiseerde AI-agents die 24 uur per dag kunnen zoeken naar zwakheden. Nanne van ’t Klooster, AI-security-expert bij Rewire, benadrukt dat dit een tegenreactie vereist waarbij organisaties hun eigen cybersecurity-agents moeten inzetten. De kern van de verschuiving is schaal: waar een menselijk team beperkt is in tijd en capaciteit, kan een AI-agent continu en op grote schaal kwetsbaarheden scannen en aanvallen genereren.

Hoe je dit kunt toepassen

De praktische toepassing hangt af van jouw situatie. De opkomst van dual-use AI zoals Mythos verandert de basis van digitale risicobeheer. Het is niet langer voldoende om af en toe een scan te draaien; beveiliging moet proactief, continu en geautomatiseerd worden.

Als je een klein of middelgroot bedrijf runt zonder een groot IT-team, is de eerste stap bewustwording. Begrijp dat de dreigingssnelheid toeneemt. Overweeg om je afhankelijkheid van softwareleveranciers te evalueren: gebruik je kritieke software van grote partijen die waarschijnlijk al in Project Glasswing zitten en dus toegang hebben tot deze verdedigingstools? Zo niet, vraag dan naar hun roadmap voor het integreren van AI-gestuurde beveiliging. Een mogelijkheid is om te investeren in managed security service providers (MSSP’s) die zelf AI-tools gaan inzetten om jouw omgeving te beschermen.

Als je een technisch team aanstuurt of zelf verantwoordelijk bent voor IT-infrastructuur, is het tijd om van reactief naar proactief beheer te schakelen. Je zou kunnen beginnen met het implementeren van geautomatiseerde, continue monitoringtools die afwijkingen detecteren. De kernles van Mythos is dat menselijke controle essentieel blijft, maar geautomatiseerde assistentie onmisbaar wordt. Overweeg om je team te trainen in het interpreteren van de output van AI-beveiligingstools, zodat je begrijpt wat er gebeurt en niet blind vertrouwt op een ‘zwarte doos’.

Als je software ontwikkelt of laat ontwikkelen voor je bedrijf, verandert het testproces fundamenteel. Traditionele pentesten (penetratietesten) zijn incidenteel; de nieuwe realiteit vraagt om continue security testing geïntegreerd in het ontwikkelproces zelf, ook wel DevSecOps genoemd. Een optie is om te onderzoeken of je ontwikkelaars toegang kunnen krijgen tot AI-gestuurde code-analyse tools die tijdens het programmeren al op kwetsbaarheden wijzen, vergelijkbaar met hoe Mythos opereert maar dan voor verdediging.

Bron: Computable