Claude Mythos en de versnelling van cyberrisico

Anthropic heeft de toegang tot het model bewust beperkt en Project Glasswing gestart: een sectoroverstijgend defensief initiatief waarbij een selecte groep partners helpt om kritieke software beter te beveiligen. Een bredere beschikbaarheid volgt pas wanneer de verdedigingsmaatregelen verder zijn versterkt.

Prestatieniveau verandert

Wat Claude Mythos vooral duidelijk maakt, is dat het grootste risico voor veel organisaties niet langer zit in ontbrekend inzicht, maar in de snelheid van uitvoering. AI introduceert geen fundamenteel nieuwe cyberdreiging. Het legt bloot dat veel security‑operating models zijn ingericht op een dreigingslandschap dat simpelweg langzamer was.

Dat betekent niet dat AI ineens iets totaal nieuws doet binnen cybersecurity. Frontier‑modellen bewogen zich al in deze richting. Wat wél verandert, is het prestatieniveau: bekende taken kunnen sneller, op grotere schaal en met meer autonomie worden uitgevoerd. Volgens Anthropic presteert Mythos Preview aantoonbaar beter dan eerdere Claude‑modellen op verschillende benchmarks en is het model ingezet om ernstige kwetsbaarheden te identificeren in veelgebruikte software, waaronder fouten die al lange tijd onopgemerkt waren gebleven.

De mate van verbetering is opvallend. Claude Mythos Preview zou bijna honderd keer succesvoller zijn dan Claude Opus 4.6, het huidige frontier‑model van Anthropic, in het genereren van werkende exploits voor ontdekte kwetsbaarheden.

Voor bestuurders en security‑leiders is dit onderscheid van direct belang. Het gaat niet om een nieuwe categorie cyberdreigingen, maar om de versnelling van bestaande risico’s. Frontier‑AI verkort de tijd tussen het ontdekken van een kwetsbaarheid en het daadwerkelijk kunnen misbruiken ervan. Het voordeel ligt bij de partij — aanvallend of verdedigend — die deze technologie het snelst weet te adopteren en te integreren in de eigen processen.

Waarom dit ertoe doet

De belangrijkste betekenis van Claude Mythos is dat het wijst op een sterke compressie van tijdlijnen. Het ontdekken van kwetsbaarheden wordt goedkoper en eenvoudiger schaalbaar. Triage en validatie versnellen door autonome proof‑of‑concepts. Daardoor komen patching, openbaarmaking en uitrol steeds verder onder druk te staan. De Linux Foundation heeft inmiddels gesignaleerd dat AI‑gegenereerde bugrapporten en pull requests de capaciteit van open‑source‑maintainers onder druk zetten — en dat met de technologie van vandaag.

Beide kanten profiteren van deze ontwikkeling, maar niet in gelijke mate. Dreigingsactoren kunnen AI inzetten om bekende zwakheden, zoals niet‑gepatchte systemen, misconfiguraties en zwakke credentials, sneller en goedkoper te vinden en te exploiteren. Verdedigers beschikken over dezelfde middelen om kwetsbaarheden eerder te detecteren en te verhelpen. In de praktijk lukt het veel organisaties echter al niet om bekende problemen tijdig te verhelpen. Dat komt niet doordat kwetsbaarheden niet worden gevonden, maar doordat eigenaarschap, besluitvorming en veranderprocessen de uitvoering vertragen. Op korte termijn schaalt aanval daardoor makkelijker dan verdediging.

Ook als Mythos voorlopig beperkt beschikbaar blijft, is het een duidelijke voorbode. Andere partijen zullen vergelijkbare capaciteiten nastreven en minder geavanceerde modellen maken het vandaag al mogelijk om bekende kwetsbaarheden effectief te misbruiken. Bij de meeste organisaties gaat het niet om zero‑days, maar om bekende kwetsbaarheden, versterkt door configuratie‑ en identiteitszwakheden die met agentic AI efficiënter kunnen worden uitgebuit.

Belangrijkste implicaties

• Bestaande zwakheden worden zichtbaarder. Het grootste risico voor organisaties is niet het ontbreken van geavanceerde tooling, maar gebrekkige basismaatregelen: inconsistente hygiëne, verouderde accounts, gefragmenteerde securitytelemetrie en trage veranderprocessen.
• Het reactievenster wordt kleiner. Naarmate AI de ontdekking en exploitatie van kwetsbaarheden versnelt, wordt trage remediëring een direct bedrijfsrisico.
• De vaardigheidsdrempel daalt verder. Anthropic geeft aan dat engineers zonder formele security‑opleiding met Mythos binnen korte tijd werkende exploits konden genereren. Dat wijst op een wezenlijk lagere instapdrempel.
• Verantwoorde AI‑adoptie is onmisbaar. Interne AI‑toepassing stoppen of uitstellen is geen houdbare strategie. Organisaties die dat doen, lopen verder achter op zowel dreigingsactoren als concurrenten. Nodig is een helder plan voor AI‑inzet, met governance, toezicht en monitoring vanaf het begin ingebouwd.

Wat u nu moet doen

De belangrijkste reactie is geen paniek, maar operationele discipline. AI‑versneld cyberrisico vraagt vooral om snelheid in besluitvorming en uitvoering, wat een herziening vereist van de manier waarop kwetsbaarheden worden geïdentificeerd en verholpen, aangezien veel organisaties nog werken vanuit een te traag dreigingsbeeld.

Herzie de snelheid waarmee kwetsbaarheden worden geïdentificeerd en verholpen.

Breng in kaart hoe snel uw organisatie kritieke kwetsbaarheden kan identificeren, valideren, prioriteren en patchen. Naarmate discovery op grotere schaal plaatsvindt, worden patchsnelheid en geautomatiseerde triage bepalend voor cyberweerbaarheid. Veel organisaties zullen constateren dat hun doorlooptijden en goedkeuringsprocessen zijn ingericht op een trager dreigingsbeeld.

Versterk identiteits‑ en configuratiehygiëne.

Zie dit als een primaire verdedigingslaag tegen AI‑versnelde aanvallen. Verwijder verouderde accounts, pas multifactorauthenticatie consequent toe en voer structurele configuratie‑audits uit. Dit zijn precies de zwakheden die agentic modellen het efficiëntst benutten.

Vergroot het inzicht in assets en afhankelijkheden.

U kunt niet beveiligen wat u niet kent. Een actueel asset‑overzicht, zicht op het externe aanvalsoppervlak en inzicht in afhankelijkheden worden steeds belangrijker naarmate kwetsbaarheden sneller aan het licht komen. Organisaties met complexe legacy‑omgevingen en een sterke afhankelijkheid van open‑source‑software lopen extra risico.

Consolideer securitytelemetrie.

Verminder versnippering in tooling en breng databronnen en detectiepijplijnen samen. Verspreide signalen zijn bij hogere snelheden moeilijk effectief te benutten.

Zet AI defensief in. Dezelfde technologie die aanvallers helpt, kan ook verdedigingsprocessen versnellen. Test AI‑toepassingen in kernactiviteiten zoals kwetsbaarheidstriage, broncodeanalyse, patchgeneratie en responsworkflows.

Bereid uw responscapaciteiten voor. Preventie alleen is onvoldoende. Toets detectie‑, inperkings‑ en herstelprocessen aan scenario’s waarin exploits zich binnen uren ontwikkelen. Incidentresponsplannen en escalatiepaden moeten daarop zijn ingericht.

Actualiseer governance rond AI‑tools en agents. Naarmate teams codeerassistenten en agentic AI inzetten, moeten goedkeuringsprocessen, toegangsrechten, monitoring, sandboxing en menselijke controle opnieuw worden beoordeeld. Veilige AI‑inzet wordt daarmee onderdeel van operationele veerkracht en compliance, inclusief auditbaarheid en responsparaatheid.

Samengevat

Claude Mythos zal mogelijk niet alle claims waarmaken die er nu over worden gedaan, maar het signaal is helder. AI bereikt — en evenaart in sommige gevallen — het prestatieniveau van menselijke experts bij cruciale securitytaken zoals vulnerability scanning, triage en exploitgeneratie.

De kernvraag voor organisaties is of zij in staat zijn om te patchen, te reageren en te sturen op AI‑snelheid, voordat aanvallers datzelfde tempo benutten. Organisaties die hun operating model hierop aanpassen, zijn beter voorbereid. Wie dat niet doet, loopt het risico dat aanzienlijke investeringen vooral het verkeerde probleem oplossen.