Waarom Anthropic’s AI-model Claude Mythos zorgt voor alarmfase één
De afgelopen maand was er nogal wat commotie rondom het nieuwe taalmodel Claude Mythos van het veelbesproken Anthropic. Het probleem is namelijk dat het specialistische model té goed is in het opsporen van softwarelekken en andere kwetsbaarheden.
Zo heeft het tijdens de testfase duizenden zero-day kwetsbaarheden (voorheen onbekende softwarelekken) gevonden en succesvol geëxploiteerd. Deze lekken zijn aangetroffen in letterlijk elk groot besturingssysteem en elke grote webbrowser van dit moment. Saillant is de ontdekking van een 27 jaar oud lek in OpenBSD, een besturingssysteem dat wereldwijd geprezen wordt om zijn extreme veiligheid.
Het Amerikaanse bedrijf moest plots de uitrol stopzetten en laat nu onder de naam Project Glasswing een select groepje techbedrijven, zoals Google en Microsoft, het nieuwe model testen. Ontdekte lekken worden via het responsible disclosure-principe gemeld. Dit geeft getroffen bedrijven 90 dagen de tijd om het probleem op te lossen voordat de kwetsbaarheid openbaar wordt gemaakt.
Nederlandse bedrijven tasten in het duister over hoe dit nieuwe model in elkaar steekt, het is vooralsnog een Amerikaanse aangelegenheid. Het is dan ook geen verrassing dat ook het Nationaal Cyber Security Centrum, onderdeel van het ministerie van Justitie, alarm slaat. Ze zien dat Mythos het aantal digitale aanvallen flink kan versnellen en ze adviseren organisaties om snel actie te ondernemen.
Lees ook: Schaduwkant van AI-progressie: angst bij banken voor geautomatiseerde cyberaanvallen Mythos
De impact van AI-aanvallen op Nederlandse organisaties
Sinds de mediastorm medio april lijkt deze alweer behoorlijk geluwd en wordt er minder over Mythos geschreven. Maar is het niet alarmfase één voor elke Chief Security Officer? Wat moet de gemiddelde Nederlandse organisatie doen om geen gevaar te lopen?
Volgens Dr. Maarten Sukel, oprichter van The AI Factory en ontwikkelaar van AI-producten, is het zeker verstandig om het model nog niet commercieel uit te brengen. Hij zegt: „Dit specialistische model is vooral sneller, groter en beter in het opsporen van veiligheidslekken. Je kunt vele achterdeuren openen van bedrijven en organisaties, zonder dat ze het weten.”
„Inlichtingendiensten gebruiken vaak zero days, en Mythos kan volgens de claims zero days vinden. Zonder ingrijpen had dit tot heel veel chaos geleid. En vanwege het groeiend aantal hacks en de grotere schaal ervan, is voorzichtigheid geboden.”
Eens te meer omdat veiligheidsrisico’s niet bepaald hoog op de agenda staan. Sukel: ,,Vaak komt men pas in actie als het kwaad al is geschied. Voor medewerkers wordt een verzekering afgesloten, maar security is helaas nog steeds een sluitpost.”
Madelein van der Hout, cybersecurity en risk-onderzoeker bij Forrester Research, sluit zich daarbij aan. „Het is nu echt tijd voor een ‘playbook reset’ op het gebied van cybersecurity en - governance. Mythos is een geavanceerd taalmodel dat zowel offensieve als defensieve security beheerst en kwetsbaarheden opspoort in besturingssystemen, browsers en kritieke infrastructuur.”
„Via zogenaamde exploit-chains kan het aanvalsstappen automatisch aan elkaar knopen, van verkenning tot uitbuiting. Wat een doorgewogen security-expert uren of dagen kost, doet Mythos in minuten, op een schaal en snelheid die geen gemiddeld security-team kan bijhouden.”
Het is niet dat er helemaal niets is gebeurd qua awareness. Ze weet uit eigen kring dat Nederlandse bedrijven staan te popelen om Mythos te testen. Iets wat (nu nog) alleen voor Amerikaanse bedrijven toegankelijk is. Van der Hout: „Dit verandert niet alleen de hele securitybranche, maar ook de hele spionagewereld. Het huidige securitydenken is heel erg geënt op het vinden van kwetsbaarheden, maar dat is inmiddels achterhaald. Voor elke board en Chief Security Officer zou dit prioriteit nummer één moeten zijn.”
Je moet volgens Van der Hout over naar wat zij autonome remediation noemt. Dat is een proces waarbij AI-systemen zelfstandig cyberbedreigingen of softwarelekken detecteren, analyseren en direct oplossen.
Ook vindt ze toezicht en handhaving momenteel te soft. Zij stelt: „De huidige Europese AI Act is niet geschreven voor de technologische ontwikkelingen van nu, het is bijvoorbeeld niet geschreven voor AI agents. Ook denk ik dat boetes alleen niet effectief zijn. Je zult ook moeten denken aan sancties, want dat kan een bedrijf niet budgetteren.”
„Het is een goed signaal dat consumenten meer belang hechten aan goede databescherming, Mythos valt onder de EU AI Act als een GPAI-model met systemisch risico. Dat betekent niet dat het verboden is, maar dat Anthropic verplicht is een uitgebreide risicobeoordeling af te ronden voordat het model in de EU beschikbaar komt. Europese toezichthouders zijn tot nu toe grotendeels buitenspel gezet.”
5 cruciale cybersecurity tips voor de Chief Security Officer (CSO)
Om als organisatie je te weren tegen de veiligheidsrisico’s, hebben Sukel en Van der Hout een aantal tips.
1. Maak van cybersecurity een directieprioriteit en investeer doelgericht
Cybersecurity moet een topprioriteit in de board zijn. De economische realiteit werkt vaak niet in het voordeel van de Chief Security Officer (CSO) en dat vereist strategische keuzes. Investeren in AI is kostbaar, dus kies bij de inzet ervan niet blind voor het duurste model, maar selecteer nauwkeurig het juiste model voor de specifieke taak.
2. Breng de basishygiëne op orde
Er moet nog steeds focus blijven op de basishygiëne: systemen zijn niet snel genoeg gepatcht. Zorg voor een proactieve patch- en AI-strategie en kijk hoe je dit slimmer kunt doen via automatisering. Wees daarnaast extra kritisch op de open-source toepassingen die je gebruikt; hier zit vaak minder structureel onderhoud op omdat het deels op vrijwilligers draait. Blijf continu monitoren wat de nieuwste ontwikkelingen zijn en wat je exact moet beschermen.
3. Hanteer strikte dataminimalisatie
Minimaliseer de toegang tot data: breng in kaart welke data je écht nodig hebt en wie daar toegang toe heeft. Zorg ervoor dat interne data nooit méér is gedeeld dan strikt noodzakelijk. Trek deze kritische blik ook door naar buiten en evalueer je leveranciersrelaties; bereid je proactief voor op risico's vanuit de keten.
4. Zet AI offensief in voor ‘red teaming’ en pentesten
Je kunt tegenwoordig geen pentesten meer draaien zonder rekening te houden met (kwaadaardige) AI. Er is een grote behoefte aan red teaming programma's die specifiek en gericht testen. Denk als een hacker: ga bijvoorbeeld aan de slag met agentic tools zoals Claude Code en stuur deze af op je eigen systemen. Door zelf de hackerspet op te zetten, spoor je kwetsbaarheden sneller op en kun je deze gericht verminderen.
5. Dicht de talentkloof met nieuwe skills en Nederlandse expertise
Door het algemene gebrek aan talent loopt de veiligheid gevaar. Dit vraagt om de ontwikkeling van totaal andere vaardigheden binnen je organisatie, zoals remediation (het snel en effectief oplossen van lekken). Gelukkig is Nederland volgens Sukel een absolute voorloper op het gebied van cybersecurity. Maak daar gebruik van: als de kennis intern ontbreekt, huur dan tijdig de juiste externe expertise in.
Lees ook: ‘De enorme potentiële schade van deze hack had het einde van McKinsey kunnen betekenen’
Wat is Anthropic en hoe groot is hun invloed in AI?
Anthropic is een privaat Amerikaans AI-bedrijf dat in 2021 werd opgericht door een aantal mensen van OpenAI. Ze profileren zich als de 'ethische' tegenhanger van OpenAI, en zijn steeds meer in trek bij developers maar ook ‘normale’ consumenten.
CEO Dario Amodei is een natuurkundige die eerder leiding gaf aan onderzoek bij OpenAI en Google Brain. Hij runt het bedrijf samen met zijn zus Daniela Amodei.
Na een Series G-ronde in februari 2026 wordt Anthropic gewaardeerd op circa $380 miljard. Maar de geschatte jaarlijkse run-rate is ook fors: begin 2026 bedraagt deze circa $14 miljard, mede gedreven door de populaire agentic-tool Claude Code.
Naar schatting werken er nu meer dan 1.500 mensen, verspreid over kantoren in San Francisco, Londen en Dublin.
Vorig en dit jaar zijn een aantal nieuwe krachtige modellen uitgekomen in de 4-serie: Opus 4.7 (gelanceerd april 2026), Sonnet 4.6 en de compacte Haiku 4.5.
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
