Stel je voor: je bouwt een AI-model dat zo goed is in het vinden van beveiligingslekken dat het kwetsbaarheden ontdekt in elk groot besturingssysteem en elke webbrowser ter wereld. Meer dan 99% daarvan is nog niet gepatcht. Wat doe je dan? Als je Anthropic bent, besluit je dat model niet uit te brengen. En eerlijk gezegd is dat misschien wel de meest verantwoorde beslissing die een techbedrijf dit jaar heeft genomen.
Wat is Mythos precies?
Mythos is het nieuwste AI-model van Anthropic, het bedrijf achter de populaire Claude-assistent. Het model is specifiek getraind op cybersecurity en kan software-kwetsbaarheden opsporen met een snelheid en nauwkeurigheid die menselijke beveiligingsonderzoekers ver achter zich laat. Waar een team van experts weken nodig heeft om een complex systeem door te spitten, vindt Mythos in uren duizenden high-severity bugs.
Het gaat niet alleen om het vinden van fouten. Mythos kan ook de bijbehorende exploits schrijven, oftewel de code waarmee kwaadwillenden die kwetsbaarheden zouden kunnen misbruiken. Dat maakt het model niet zomaar een handige tool, maar potentieel ook een wapen.
Tienduizenden kwetsbaarheden in populaire software
Tijdens interne tests heeft Anthropic Mythos losgelaten op veelgebruikte software. De resultaten waren schokkend. Het model vond kwetsbaarheden in elk groot besturingssysteem (Windows, macOS, Linux) en in alle populaire webbrowsers. Sommige bugs bleken al tientallen jaren aanwezig te zijn, zonder dat ze ooit door menselijke audits waren gevonden.
Meer dan 99% van de gevonden kwetsbaarheden was op het moment van ontdekking nog niet gepatcht. Dat is een enorm gat in de verdediging van vrijwel elke computer op aarde. Het illustreert een groeiend probleem: AI kan sneller fouten vinden dan bedrijven ze kunnen oplossen. Wie geinteresseerd is in online veiligheid kan ook onze tips voor het beschermen van je gegevens lezen.
Project Glasswing brengt techreuzen samen
In plaats van Mythos publiekelijk beschikbaar te maken, kiest Anthropic voor een beperkte uitrol. Het model wordt gedeeld met ruim 40 organisaties die het mogen gebruiken om hun eigen code en open-source systemen te scannen en te beveiligen. Elf daarvan, waaronder Amazon Web Services, Apple, Cisco, Google, Microsoft en Nvidia, nemen deel aan een nieuw samenwerkingsverband genaamd Project Glasswing.
Het idee achter Glasswing is simpel maar ambitieus: geef verdedigers een voorsprong. Door de kwetsbaarheden eerst te delen met de partijen die ze kunnen fixen, voorkom je dat hackers er als eerste misbruik van maken. JPMorgan Chase, CrowdStrike, de Linux Foundation en Palo Alto Networks doen ook mee, wat laat zien dat dit initiatief zowel de financiele als de technische sector omvat.
Waarom dit een keerpunt is voor AI-veiligheid
De beslissing van Anthropic om Mythos niet breed uit te brengen is opvallend in een industrie die doorgaans zo snel mogelijk wil lanceren. Het bedrijf zegt dat het model een "step change" in capabilities vertegenwoordigt, een sprong voorwaarts die nieuwe veiligheidsvragen oproept. Cybersecurity-experts bevestigen dat. Volgens Fortune zegt een veteraan uit de sector dat we "nog nooit een probleem hebben gehad met het vinden van kwetsbaarheden", maar dat de schaal waarop Mythos dat doet ongekend is.
Dit raakt ook aan een bredere discussie over de rol van geavanceerde technologie in ons dagelijks leven. Als AI-modellen kwetsbaarheden sneller vinden dan ze gepatcht kunnen worden, ontstaat er een wapenwedloop tussen aanvallers en verdedigers die we niet kunnen negeren.
Wat betekent dit voor jou?
Als gewone gebruiker hoef je niet in paniek te raken, maar het is wel een wake-up call. De software die je dagelijks gebruikt, van je besturingssysteem tot je browser, bevat waarschijnlijk kwetsbaarheden die tot nu toe onbekend waren. Houd je software altijd up-to-date, gebruik sterke wachtwoorden en schakel tweefactorauthenticatie in waar mogelijk.
Voor bedrijven is de boodschap duidelijker: investeer in cybersecurity. De komst van AI-modellen als Mythos betekent dat zowel verdedigers als aanvallers steeds krachtigere tools krijgen. Wie nu niet investeert in beveiliging, loopt straks achter de feiten aan. En met de recente golf van AI-ontwikkelingen bij OpenAI en andere spelers wordt dat verschil alleen maar groter.
De toekomst van verantwoorde AI
De Mythos-casus zou weleens het voorbeeld kunnen worden waar de AI-industrie nog jaren naar verwijst. Het laat zien dat er momenten zijn waarop "kunnen" niet automatisch "moeten" betekent. Anthropic verdient credits voor die keuze, al zullen critici terecht opmerken dat het bedrijf er ook marketingvoordeel uit haalt.
Wat vaststaat is dat de wereld van cybersecurity voorgoed is veranderd. AI is niet langer alleen een verdedigingsmiddel, maar ook een aanvalswapen van ongekende kracht. Hoe we daarmee omgaan, bepaalt hoe veilig onze digitale wereld de komende jaren zal zijn.