Anthropic heeft een nieuw AI-model ontwikkeld dat volgens het bedrijf een grote impact kan hebben op cyberbeveiliging. Het model, genaamd Claude Mythos, is volgens Anthropic in staat om wereldwijd een zeer groot aantal softwarekwetsbaarheden te vinden en te exploiteren.
Vanwege de schade die het AI-model zou kunnen aanrichten, heeft Anthropic besloten het model voorlopig niet openbaar te maken. In plaats daarvan wordt het uitsluitend gedeeld met een beperkte groep grote technologie- en financiële bedrijven binnen het initiatief ‘Project Glasswing’.
Claude Mythos vindt kwetsbaarheden die jarenlang onopgemerkt bleven
Tijdens het testen ontdekte Claude Mythos Preview meerdere kritieke beveiligingslekken in software en besturingssystemen die al jarenlang worden gebruikt. Volgens Anthropic wist het model onder meer:
- Een 27 jaar oud beveiligingslek in ’s werelds meest beveiligde besturingssysteem te vinden, waardoor het in feite allerlei essentiële infrastructuur plat kon leggen.
- Een 17 jaar oud beveiligingslek in FreeBSD, een besturingssysteem dat voornamelijk wordt gebruikt voor servers, waardoor een aanvaller de volledige controle over elke machine in het netwerk kon overnemen, zonder wachtwoord of andere inloggegevens.
- Een 16 jaar oud beveiligingslek in FFmpeg, software die door bijna alle apparaten wordt gebruikt voor het coderen en decoderen van video’s. Het lek zat in een regel code die door bestaande beveiligingstesttools letterlijk miljoenen keren was gecontroleerd, maar nooit was opgemerkt.
- Een volledige simulatie van een aanval op een bedrijfsnetwerk van begin tot eind te voltooien. Dit is een taak waar een menselijke beveiligingsexpert dagen werk aan zou hebben en die geen enkel eerder model had volbracht.
Volgens Anthropic’s beveiligingsonderzoeker Nicholas Carlini heeft het model in enkele weken tijd meer beveiligingsproblemen gevonden dan hij in zijn volledige carrière heeft ontdekt.
Grote sprong in het daadwerkelijk exploiteren van kwetsbaarheden
Niet alleen het vinden van kwetsbaarheden blijkt sterk verbeterd. Ook het daadwerkelijk ontwikkelen van bruikbare exploits is sterk toegenomen. Waar een eerder model van Anthropic slechts 1% van de gevallen succesvol kon omzetten in een daadwerkelijk schadelijke aanval, kan Mythos dat in 72% van de gevallen.
“We hebben gezien hoe Mythos Preview binnen enkele uren exploits schreef waar ervaren penetratietesters volgens eigen zeggen weken over zouden hebben gedaan.”
Anthropic is nu alleen bereid om details te geven over ongeveer 1% van de beveiligingslekken die ze hebben ontdekt, omdat tot nu toe slechts die 1% is verholpen. Het zou daarom onverantwoord zijn om ons over de rest te informeren.
Zorgen over ontsnapping uit beveiligde omgevingen
In de documentatie rondom het model beschrijft Anthropic ook een opvallend incident tijdens tests in een afgesloten sandbox-omgeving (een veilige, geïsoleerde testomgeving binnen een computersysteem).
Tijdens een lunchpauze ontving een AI-onderzoeker bij Anthropic een e-mail van een instantie van Mythos. Die instantie van het model had geen toegang tot het internet mogen hebben. Tijdens de testfase had een gesimuleerde gebruiker een vroege versie van Mythos opdracht gegeven om te proberen te ontsnappen uit een beveiligde sandbox, een afgesloten omgeving van waaruit het geen toegang tot de buitenwereld zou mogen hebben. Het model ontwikkelde een “redelijk geavanceerde, meerstaps exploit” om brede internettoegang te verkrijgen. Nadat het erin geslaagd was de taak uit te voeren waarvoor het kennelijk was opgeroepen, bracht het dus de onderzoeker hiervan op de hoogte via een e-mail.
Nog verontrustender is echter dat het model de exploit die het gebruikte om in te breken, op verschillende obscure maar publiekelijk toegankelijke websites plaatste. Waarom? Dat weten we niet precies, maar Anthropic suggereert dat het “een ongevraagde poging was om zijn succes te demonstreren”.
Project Glasswing
Op 7 april 2026 kondigde Anthropic een samenwerkingsverband aan met meerdere grote technologie- en financiële bedrijven, het initiatief Project Glasswing. Onder de deelnemende partijen bevinden zich onder andere Amazon Web Services, Apple, Cisco, Google, Microsoft, NVIDIA en Palo Alto Networks. Het doel hiervan is om de meest cruciale software ter wereld beter te beveiligen.
Achter de schermen van Firefox
Met behulp van Claude Mythos Preview en andere AI-modellen heeft Mozilla een groot aantal verborgen beveiligingslekken in Firefox opgespoord en verholpen.
Volgens Mozilla hielp het model bij het identificeren en oplossen van 271 beveiligingsproblemen. Daarnaast meldt de organisatie dat het aantal ontdekte kwetsbaarheden de afgelopen maanden aanzienlijk is toegenomen door het gebruik van AI-ondersteunde analyses.
Cyberbeveiliging verandert sneller dan organisaties kunnen bijhouden
Project Glasswing is een beginpunt. Geen enkele organisatie kan deze cybersecurityproblemen alleen oplossen. Wereldwijd zullen overheden, softwarebedrijven, beveiligingsonderzoekers en AI-ontwikkelaars gezamenlijk moeten samenwerken om de digitale infrastructuren veilig te houden.
Het verdedigen van de wereldwijde cyberinfrastructuur kan jaren duren, terwijl de mogelijkheden van geavanceerde AI zich waarschijnlijk in hoog tempo blijven ontwikkelen. Voor uw organisatie betekent dit dat actuele beveiliging, tijdige updates en proactief beheer van websites en systemen erg belangrijk zijn.
Wat kan uw bedrijf al ondernemen om klaar te zijn voor eventueel aankomende aanvallen?
Nu AI-systemen steeds sneller kwetsbaarheden kunnen opsporen en misbruiken, is het van belang om uw digitale omgeving actief te onderhouden en te beveiligen. Enkele dingen die u al kunt ondernemen om eventuele aanvallen voor te zijn:
Houd updates op serverniveau actief bijDit houdt in de beveiligingsupdates die op korte termijn uitkomen inschatten op toepasbaarheid en waar nodig meteen doorvoeren (vaak zijn dit kleine kernelpatches/uitschakelen van gebruikte protocollen).
Update regelmatig uw CMS-systeemVerouderde software heeft serieuze impact met de komst van AI; er wordt namelijk steeds meer automatisch gescand op openstaande kwetsbaarheden.
Laat geen overbodige bestanden op uw webserver staanOude back-ups, testbestanden of vergeten configuratiebestanden kunnen eenvoudig worden gevonden door automatische scansystemen en vervolgens worden misbruikt.
Zorg voor een goede back-upstrategieMet actuele en goed geteste back-ups kunt u bij een incident snel systemen, websites of servers herstellen en downtime beperken.
Wat doet yndenz op het gebied van digitale veiligheid?
Digitale veiligheid vraagt om regelmatige updates en een goede back-upstrategie. Daarom nemen wij verschillende maatregelen om websites, servers en digitale omgevingen zo goed mogelijk te beschermen tegen cyberdreigingen.
- Onze serveromgevingen worden actief bijgewerkt, inclusief kernelupdates;
- Aanvallen op domainniveau worden aangepakt/tegengehouden d.m.v. Cloudflare Security Rules;
- Actief monitoren van dataverkeer en prestaties van onze serveromgevingen;
- Het zorgen voor een goede back-upstrategie.
Uit veiligheidsoverwegingen kunnen wij niet alle beveiligingsmaatregelen openbaar delen.
Wilt u weten hoe veilig uw website of serveromgeving momenteel is ingericht, of bent u benieuwd welke verbeteringen mogelijk zijn? Neem gerust contact met ons op!
