Anthropic heeft het AI-model Mythos aangekondigd voor het automatisch opsporen van kwetsbaarheden en het bouwen van complete aanvalsketens. Het NCSC, onderdeel van het ministerie van Justitie en Veiligheid, reageert met een concreet advies aan organisaties: verkort de time-to-patch en zorg dat de basisbeveiliging op orde is, want aanvallen worden sneller en meer geautomatiseerd.

Anthropic heeft het AI-model Mythos aangekondigd, gericht op het automatisch opsporen van kwetsbaarheden en het koppelen ervan tot complete aanvalsketens. Volgens tests identificeerde Mythos duizenden zero-day kwetsbaarheden in grote besturingssystemen en webbrowsers, waaronder een 27 jaar oud TCP-lek in OpenBSD en een 17 jaar oud beveiligingslek in FreeBSD. Het model haalt een autonome exploit-succesrate van 72,4 procent, vergeleken met vrijwel nul voor het vorige Opus 4.6-model.

Mythos gaat daarmee een stap verder dan eerder AI-securitywerk van Anthropic. In februari 2026 lanceerde het bedrijf al Claude Code Security voor het scannen van code op kwetsbaarheden, maar Mythos kan die kwetsbaarheden ook direct combineren en uitbuiten. Tijdens tests produceerde het model 181 werkende exploits op de JavaScript-engine van Firefox.

Project Glasswing: defensief gebruik voor selecte groep

Vanwege de veiligheidsrisico’s brengt Anthropic Mythos niet breed op de markt. In plaats daarvan lanceerde het bedrijf Project Glasswing. Deze coalitie van meer dan 40 organisaties, waaronder Amazon, Apple, Microsoft, Google en de Linux Foundation, mag het model uitsluitend defensief inzetten. Anthropic stelt tot 100 miljoen dollar aan gebruikscredits en 4 miljoen dollar aan directe donaties beschikbaar voor open-source beveiligingsorganisaties.

Maar de toegang blijft beperkt. Experts waarschuwen dat vergelijkbare capaciteiten via andere AI-labs mogelijk binnen zes tot achttien maanden breder beschikbaar komen, ook bij partijen met kwade bedoelingen.

NCSC: basisbeveiliging moet nu op orde

Het Nationaal Cyber Security Centrum (NCSC) reageert op de ontwikkelingen rond Mythos met een helder advies. Organisaties moeten AI-ontwikkelingen opnemen in hun patchmanagement en de time-to-patch aanzienlijk verkorten. “Zero‑days kun je niet voorkomen, maar de “time‑to‑patch” moet omlaag; uitstel van dagen of weken past niet meer bij het huidige dreigingslandschap,” aldus het NCSC.

Daarnaast adviseert het NCSC te anticiperen op aanvallen die sneller en geautomatiseerder verlopen. AI kan daarbij ook aan de verdedigingskant worden ingezet, bijvoorbeeld bij detectie van afwijkend gedrag in netwerken. Het centrum wijst er verder op dat details over Mythos al eerder via een datalek uitlekten voordat Anthropic het model officieel aankondigde.