AI-model Claude Mythos zorgt voor schokgolf in cybersecuritywereld
De lancering van Claude Mythos zorgt voor een schokgolf in de wereld van cybersecurity. AI-security-expert Nanne van ’t Klooster van Rewire ziet dat de komst van het nieuwe AI-model van Anthropic een wapenwedloop in gang zet tussen zelfstandig opererende AI-agents – een strijd die mensen niet meer kunnen bijbenen.
Vorige week bracht Anthropic het Claude Mythos-model uit. Het model biedt grote verbeteringen op het gebied van redeneren, programmeren en meer. Toch heeft het bedrijf er bewust voor gekozen het model niet meteen beschikbaar te maken voor het grote publiek. In plaats daarvan is de toegang beperkt tot een consortium van technologiebedrijven via een initiatief genaamd ‘Project Glasswing’.
De reden hiervoor is duidelijk: Claude Mythos heeft in korte tijd duizenden ernstige beveiligingslekken ontdekt in besturingssystemen en webbrowsers, waaronder kwetsbaarheden die al 27 jaar onopgemerkt waren gebleven.
“Voordat Anthropic dit model breed beschikbaar maakt, krijgen grote organisaties als Apple, Amazon Web Services, Google, Microsoft en NVIDIA eerst de kans om hun beveiliging op orde te brengen”, zegt Nanne van ’t Klooster, principal consultant bij Rewire. “Deze organisaties zullen Claude Mythos gebruiken om kwetsbaarheden in kritieke software te identificeren en te verhelpen.”
Cybersecurity-agents
De ontwikkelingen rond Claude Mythos zijn volgens Van ’t Klooster indicatief voor een fundamentele verschuiving in het cybersecuritylandschap. Waar voorheen mensen zich bezighielden met pentesten, ethical hacking en het vinden en oplossen van cyberkwetsbaarheden, is het nu mogelijk om AI-agents 24 uur per dag te laten zoeken naar zwakke plekken in systemen.
“De ontwikkeling van AI-agents tot volwaardige cybersecurity-agents zal het cyberlandschap ingrijpend veranderen. Organisaties kunnen straks hun eigen agents inzetten die continu speuren naar de nieuwste dreigingen en kwetsbaarheden.”
Waar een menselijke aanvaller beperkt wordt door kennis en tijd, benut een AI-agent systematisch alle beschikbare mogelijkheden om een zwakke plek te vinden. “We zien nu al agents die zelfstandig code schrijven om hun eigen toegangsrechten stap voor stap uit te breiden en extra privileges te verkrijgen”, aldus Van ’t Klooster. “Dat gebeurt bovendien vaak onopgemerkt, omdat deze agents zeer creatief zijn in het realtime uitvoeren van ontwijkende manoeuvres.”
Agents en mensen
Van ’t Klooster pleit voor een structurele aanpak waarbij organisaties zowel een offensief als een defensief AI-team opbouwen – teams die elkaar continu uitdagen. Tegelijkertijd waarschuwt hij voor een belangrijke valkuil: “Als niemand meer begrijpt hoe het eigen beveiligingssysteem werkt, ben je juist extreem kwetsbaar. Mensen betrokken houden blijft essentieel.”
De situatie rond Claude Mythos is volgens Van ’t Klooster bovendien een belangrijke wake-upcall voor het groeiende aantal organisaties dat experimenteert met eigen AI-agents. “Bij veel pilots ligt de focus vooral op potentiële ROI, terwijl veiligheidsaspecten nog te vaak onderbelicht blijven. De vraag is niet meer óf je organisatie doelwit wordt, maar wanneer – en of je daar dan klaar voor bent.”
