Met de geavanceerde ai-tool Claude Mythos Preview zijn inmiddels meer dan tienduizend ernstige of kritieke kwetsbaarheden gevonden in de meest systeemrelevante software ter wereld. Met vijftig partners scande het ai-bedrijf Anthropic de afgelopen maanden meer dan duizend open-sourceprojecten die samen een groot deel van het internet ondersteunen. Mythos spoorde bij het project Glasswing al 23.019 kwetsbaarheden op waarvan 6.202 ernstig of kritiek waren.

Vergeleken met Anthropics vorige model Opus 4.6 presteert Mythos dat nog niet voor het publiek is vrijgegeven, aanzienlijk beter. In bijna elk besturingssysteem en iedere webbrowser ontdekte de tool ‘bugs’. Neem bijvoorbeeld Firefox waarin 423 lekken werden gevonden. Zelfs het bijna onkraakbaar geachte MacOS blijkt niet onfeilbaar. Anthropics-partner Cloudflare vond met Mythos tweeduizend bugs. Meest verontrustend is dat Mythos Preview kwetsbaarheden blijkt te kunnen omzetten in exploitatiemogelijkheden en deze mogelijkheden vervolgens kan combineren tot complete aanvalsketens.

Uitstel betekent afstel

Het is dus zaak dat de enorme aantallen kwetsbaarheden heel snel worden gepatcht. Uitstel is geen optie. Dit vereist een grote paraatheid van cyberbeveiligers die deze systemen moeten beschermen tegen aanvallers die van ai gebruik maken. Ai versnelt namelijk niet alleen de verdediging – die nu eerder weet waar de zwakke plekken zitten – maar ook de handelswijze van cybercriminelen die dezelfde technologie voor aanvallen kunnen gebruiken. Alles gaat zo snel dat tijdige anticipatie nodig is. Aanvallen moeten worden voorkomen voordat ze schade kunnen veroorzaken. Het is een race tegen de klok.

De verwachting is dat de ai om kwetsbaarheden te ontdekken zeer binnenkort op grote schaal in verkeerde handen terechtkomt. Daarvoor is niet eens software van het kaliber Mythos nodig. Ook minder krachtige ai vormt een potentieel breekijzer. Voorlopig houdt Anthropic het model Mythos, dat niet alleen voor hacken maar ook voor andere toepassingen geschikt is, achter slot en grendel. 

Replicatie

Maar gevaar dreigt ook van elders. Binnen enkele maanden valt een replicatie van de mogelijkheden – die ai-modellen van het niveau Mythos bieden – te verwachten in open-sourcemodellen. Dit gebeurt al met openbare grote taalmodellen (llm’s). Kwaadwillende ontwikkelaars weten op die manier gelijkwaardige mogelijkheden te misbruiken

Dan kan in principe iedereen hiermee aan de gang gaan met alle gevaren vandien. Een golf dreigt van cyberaanvallen, geautomatiseerde fraude en andere schadelijke toepassingen. De frequentie en intensiteit hiervan nemen toe.

Deze technologie werkt als een soort loper, een sleutel waarmee aanvallers zonder een security-achtergrond heel snel en tegen lage kosten toegang kunnen krijgen tot kritische it-infrastructuur. De vrees bestaat dat menselijke securityteams dit tempo niet kunnen bijhouden. Extra zorgelijk ook is dat tegenstanders met weinig technische kennis nu nog gemakkelijker systemen kunnen aanvallen. 

Hete zomer

Om deze redenen maakt de cybersecurity-wereld zich op voor een lange hete zomer. Weerbaarheid tegen misbruik van ai-modellen kost veel inzet en energie. De CISO Community Nederland waarschuwde in april al voor de opkomst van deze nieuwe generatie ai-modellen. Het potentieel voor disruptie is enorm, waarschuwt Dimitri van Zandvliet, voorzitter van deze gemeenschap.

Deze versturen we 3-4x per jaar.