Anthropic heeft een zeldzame stap gezet in de AI-sector door een van haar meest geavanceerde modellen aan te kondigen, terwijl duidelijk wordt gemaakt dat het niet de intentie is om dit breed publiek te openen. Op 7 april presenteerde het bedrijf de Claude Mythos Preview, een nieuw generalistisch model dat volgens eigen beoordelingen een significante sprong heeft gemaakt in zowel offensieve als defensieve cyberbeveiligingstaken. Het bedrijf beweert dat het systeem tijdens interne tests kwetsbaarheden zero-day kon opsporen en uitbuiten in belangrijke besturingssystemen en browsers. Deze vooruitgang wordt als zo significant beschouwd dat een zeer beperkte implementatie gerechtvaardigd wordt geacht.
In plaats van Mythos als een nieuwe premiumversie van Claude op de markt te brengen, heeft Anthropic Project Glasswing gelanceerd—een gezamenlijke initiatief met Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Het doel is dat een selecte groep grote spelers het model inzet om software en kritieke infrastructuur te versterken, voordat vergelijkbare capaciteiten zich in andere systemen verspreiden. Anthropic heeft zich ertoe verbonden tot 100 miljoen dollar aan gebruikskredieten voor het model te verstrekken, naast 4 miljoen dollar voor open source beveiligingsorganisaties.
Het bericht is niet “we hebben een model gelanceerd”, maar “we hebben een drempel overschreden”
Het opvallendste aspect van de aankondiging is niet alleen de prestatiecijfers, maar de onderliggende boodschap die Anthropic presenteert. Het bedrijf stelt dat Mythos Preview niet specifiek getraind is om software te exploiteren, maar dat de cyberbeveiligingscapaciteiten vooral voortvloeien uit bredere verbeteringen in redenering, programmeren en autonomie. Dit impliceert dat de offensieve sprong niet per se afhankelijk is van ultra-specialistische training, maar dat generalistische modellen blijven verbeteren op het gebied van code en taakcoördinatie.
Volgens het technische rapport van Anthropic heeft Mythos grote kwetsbaarheden ontdekt in onder andere OpenBSD, FFmpeg, FreeBSD, cryptografische bibliotheken, webapplicaties, virtuele machines en de Linux-kernel. Het model zou in staat zijn meerdere kwetsbaarheden te combineren tot werkende exploits en overtreft duidelijk Opus 4.6 op het gebied van autonome uitbuiting. Voorbeelden die publiek werden gemaakt, zijn onder meer een al verholpen kwetsbaarheid van 27 jaar in OpenBSD, een van 16 jaar in FFmpeg, en een remote code execution in de NFS-server van FreeBSD, geïdentificeerd als CVE-2026-4747. Anthropic benadrukt dat meer dan 99% van de ontdekte kwetsbaarheden op het moment van schrijven nog niet gepatcht waren, waardoor het aantal details dat gedeeld kan worden beperkt is uit verantwoordelijkheidsgevoel.
Glasswing is een defensieve reactie, maar ook een waarschuwing voor de markt
Het gekozen aanpak van Anthropic geeft aan dat Mythos als iets gevoeligs wordt gezien, meer dan een conventioneel model. Glasswing wordt niet gepresenteerd als een bètaprogramma voor nieuwsgierige klanten, maar als een gecontroleerde uitrol voor partijen met duidelijke verantwoordelijkheden in kritieke software. Reuters samenvatte het als een poging om potentieel gevaarlijke technologie eerst in handen van verdedigers te plaatsen voordat vergelijkbare capaciteiten breder beschikbaar komen.
Dit verandert de gebruikelijke toon in de sector aanzienlijk. De afgelopen twee jaar neigde de industrie ernaar om elke sprong in capaciteit te presenteren als een commerciële verbetering. Hier is de narratief echter bijna het tegenovergestelde: Anthropic stelt dat het model zo krachtig is dat het niet zomaar open kan worden gesteld. De impliciete boodschap is dat cybersecurity niet langer slechts een zijterrein binnen AI is, maar een domein waarop technische vooruitgang het machtsbalans tussen verdedigers en aanvallers kan verschuiven.
Voorbij marketing: wat betekent dit voor het technologische ecosysteem?
Voor de technische media is het niet alleen interessant of Anthropic haar testen overdreven presenteert, maar vooral welke trend er wordt geïntendeerd. Als modellen zoals Mythos daadwerkelijk het kostenplaatje voor het opsporen, classificeren en uitbuiten van kwetsbaarheden drastisch verlagen, versnelt en verhardt het klassieke beveiligingsproces—Ontdekking, validatie, patchen, implementatie—en wordt het agressiever. Dit raakt fabrikanten van software, open source-beheerders, distributeurs, cloud-infrastructuur en incident response teams. Anthropic benadrukt dat het niet alleen gaat om sneller vinden, maar ook om vroeger triëren, eerder patchen en snellere updates uitrollen.
Glasswing maakt bovendien duidelijk dat de volgende fase van offensieve en defensieve beveiliging industrieel zal worden. Het is geen toeval dat grote cloudproviders, cybersecuritybedrijven, grote banken en open source-organisaties in het programma betrokken zijn. Elke partij bestrijkt een deel van de globale aanvalsvectoren: cloud, endpoints, financiële diensten, kritische bibliotheken, compilers, kernels, cryptografische frameworks en basisoftware. Als de voorspelling klopt dat het aantal kwetsbaarheden dat door AI gevonden kan worden sterk zal toenemen, kunnen geen grote organisaties dit meer aan met alleen handmatige processen.
De benchmarks tellen, maar de kern is de keuze voor geslotenheid
Anthropic ondersteunt haar rapport met vergelijkingen in CyberGym en diverse ontwikkelingsbenchmarks zoals SWE-bench Verified, SWE-bench Pro, Terminal-Bench 2.0, BrowseComp en anderen. In alle tests behaalt Mythos hogere scores dan Opus 4.6, soms met grote marges. Het bedrijf erkent ook technische nuances, zoals mogelijke tekenen van memorisatie in Humanity’s Last Exam en methodologische verschillen in multimodale tests. Al deze details zijn belangrijk, maar de meest cruciale conclusie is dat het model nog altijd als een restrictief hulpmiddel wordt beschouwd, niet als een open marktproduct.
Deze beslissing amplificeert de boodschap: zelfs als andere labs een andere voortgang of risicobeoordeling hanteren, is de richting duidelijk. De combinatie van meer autonome modellen, verbeterde code en beter redeneren begint een vooral kritische zone te betreden: de geautomatiseerde exploitatie van kwetsbaarheden. Anthropic stelt zelf dat deze capaciteiten op de lange termijn waarschijnlijk meer de defenders dan de attackers zullen bevoordelen, vergelijkbaar met de vroege toepassingen van fuzzers. Maar het bedrijf erkent ook dat de overgangsfase turbulentie kan brengen. Dat is waarschijnlijk de belangrijkste boodschap van het hele bericht.
Veelgestelde vragen
Wat is precies Claude Mythos Preview?
Het is een algemeen model van Anthropic, geïntroduceerd op 7 april 2026, met bijzonder sterke prestatie op het gebied van cyberbeveiliging, zoals het opsporen van kwetsbaarheden, genereren van exploits, reverse engineering en aanvalsketens, volgens interne evaluaties. Momenteel is het niet gepland om dit breed toegankelijk te maken.
Wat houdt Project Glasswing in?
Een initiatief van Anthropic waarbij een selecte groep grote bedrijven en organisaties met kritieke software het Mythos Preview-model gebruiken voor defensieve doeleinden. Partners omvatten AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks.
Heeft Anthropic onafhankelijk bewijs dat Mythos duizenden zero-days vindt?
Niet volledig en onafhankelijk tot nu toe. Ze hebben wel concrete technische voorbeelden gedeeld en stellen dat het grootste deel van de gevonden kwetsbaarheden nog niet publiekelijk gedocumenteerd is omdat die nog niet gepatcht waren bij het schrijven van het rapport. Veel van de sterke claims wachten nog op verdere verificatie.
Kan Mythos via API of grote cloudplatforms gebruikt worden?
Ja, maar alleen binnen het programma en op uitnodiging. Participanten kunnen het model benaderen via de API en platforms zoals Amazon Bedrock, Google Cloud Vertex AI en Microsoft Foundry.
Bron: Anthropic presenteert Mythos