Anthropic heeft Claude Mythos Preview onthuld, een nieuw AI-model dat een potentiële paradigmaverschuiving in digitale oorlogsvoering vertegenwoordigt. In tegenstelling tot standaard generatieve AI is Mythos ontworpen met een gespecialiseerd vermogen waar veel op het spel staat: het vermogen om autonoom kwetsbaarheden in vrijwel elk besturingssysteem of elke browser te ontdekken en werkende exploits te ontwikkelen om deze te hacken.
Hoewel de aankondiging tot heftige discussies heeft geleid, duidt het op een transitie van AI als louter assistent naar AI als autonome digitale agressor.
De kerndreiging: van enkele tekortkomingen tot ‘exploitketens’
Het echte gevaar van Mythos Preview schuilt niet alleen in het vinden van een enkele bug, maar in het vermogen om exploitketens onder de knie te krijgen.
Bij traditioneel hacken kan een aanvaller één klein zwak punt ontdekken. Geavanceerde aanvallen, zoals ‘zero-click’-exploits die een apparaat in gevaar brengen zonder enige gebruikersinteractie, vereisen echter een reeks kwetsbaarheden die met elkaar zijn verbonden als een Rube Goldberg-machine.
“Mythos is heel goed in het bedenken van meerfasige kwetsbaarheden, en levert vervolgens ook het bewijs van exploitatie”, zegt beveiligingsonderzoeker Niels Provos.
Hoewel dit de fundamentele aard van softwarefouten niet verandert, verlaagt het drastisch de toegangsdrempel. Het stelt veel minder bekwame actoren in staat zeer geavanceerde, meerfasige aanvallen uit te voeren waarvoor voorheen menselijke expertise van de elite nodig was.
Project Glasswing: een race tegen de tijd
Om te voorkomen dat deze technologie onmiddellijk in handen van kwaadwillende actoren valt, heeft Anthropic via Project Glasswing de toegang tot een selecte groep organisaties beperkt. Dit consortium omvat industriële titanen zoals:
– Microsoft
– Appel
– Google
– De Linux-stichting
– Cisco
Het doel van deze beperkte release is om “verdedigers” een voorsprong te geven. Door ‘s werelds toonaangevende beveiligingsteams als eerste toegang tot de tool te geven, hoopt Anthropic dat ze het model kunnen gebruiken om hun eigen zwakke punten te vinden en te patchen voordat aanvallers vergelijkbare autonome mogelijkheden op grote schaal inzetten.
Scepticisme versus realiteit: hype of hardware?
De cyberbeveiligingsgemeenschap is verdeeld over de vraag of Mythos een revolutionair keerpunt is of slechts een sterk op de markt gebrachte evolutie van bestaande tools.
- De sceptici: Sommige experts beweren dat AI-agenten hackers al helpen kwetsbaarheden te vinden. Ze suggereren dat Anthropic mogelijk in een ‘AI-hype’ neigt om de waargenomen waarde en exclusiviteit van zijn modellen te vergroten. Adviseur Davi Ottenheimer vergelijkt de hartstocht met een ‘spaghettiwestern’, waarin onheilswaarschuwingen worden gebruikt om de belangstelling op te wekken.
- De gelovigen: Anderen, waaronder Edera CTO Alex Zenla, beweren dat ondanks het scepticisme de dreiging fundamenteel reëel is. De zorg is dat we op weg zijn naar een wereld van aanvallen op machineschaal, waarin miljarden autonome agenten tegelijkertijd de infrastructuur kunnen aanvallen.
Een keerpunt voor softwareontwikkeling
Deze ontwikkeling bereikt de hoogste bestuursniveaus. De Amerikaanse minister van Financiën Scott Bessent en voorzitter van de Federal Reserve, Jerome Powell, hadden onlangs een ontmoeting met financiële leiders om te bespreken hoe modellen als Mythos de financiële sector zouden kunnen destabiliseren.
Naast directe verdediging zien experts dit als een kans om een gebroken cyclus te herstellen. Decennia lang heeft de industrie zich geconcentreerd op het reageren op tekortkomingen. Voormalig CISA-directeur Jen Easterly suggereert dat dit moment de industrie in de richting van “secure by design”**-principes zou kunnen duwen. In plaats van het eindeloos patchen van kapotte software, zou AI kunnen worden gebruikt om technologie te bouwen die vanaf het begin inherent resistent is tegen uitbuiting.
Conclusie
Of Mythos Preview nu een revolutionaire sprong is of een geavanceerde evolutie, het benadrukt een cruciale realiteit: naarmate hacken geautomatiseerd en op machineschaal wordt, moet de digitale verdediging evolueren van door mensen geleide patching naar autonome, proactieve beveiliging.
