Anthropic beweegt zich in de richting van Mythos, hun meest geavanceerde model voor cybersecurity, en de laatste signalen wijzen op een snelle integratie met Claude Code en Claude Security. Er is nog geen officiële aankondiging van brede beschikbaarheid, maar interne verwijzingen zoals claude-mythos-1-preview en vermeldingen van “toegang tot het Claude Mythos-model in Claude Code en Claude Security” suggereren dat het bedrijf al werkt aan het brengen van deze technologie van de gecontroleerde omgeving van Project Glasswing naar een meer toegankelijke product voor technische teams.
Het verschil met andere AI-lanceringen voor ontwikkelaars is significant. Mythos is niet alleen bedoeld om code automatisch te voltooien, tests te genereren of functies uit te leggen. Anthropic presenteert het als een model dat in staat is om echte kwetsbaarheden in complexe software op te sporen en, onder bepaalde omstandigheden, te helpen demonsteren dat deze fouten exploiteerbaar zijn. Deze capaciteit maakt het een krachtig hulpmiddel voor beveiligingsteams, maar ook een technologie die strengere controles vereist dan conventionele programmeerassistenten.
Van beperkt programma naar product voor ontwikkelaars
Mythos is ontstaan binnen Project Glasswing, een initiatief van Anthropic om de beveiliging van kritieke software te verbeteren voordat soortgelijke modellen voor meer actoren beschikbaar komen. Het programma is opgezet met beperkte toegang en geselecteerde partners, omdat het bedrijf erkent dat het model een gevoelige grens overschrijdt: het kan het defensieve werk versnellen, maar ook de technische drempel verlagen om kwetsbaarheden te vinden en te exploiteren.
De focus verschuift nu naar Claude Code en Claude Security. TestingCatalog heeft signalen gemeld in de interface en in de code die wijzen op een product genaamd Mythos 1, met de status van preview. BleepingComputer meldt ook dat sommige gebruikers het model tijdelijk in de interface hebben gezien voordat het verdween. Een voorzichtige interpretatie is dat Anthropic het terrein voorbereidt, maar nog geen volledige toegang heeft vrijgegeven voor alle gebruikers.
De integratie met Claude Code lijkt logisch. Als een tool reeds repositoriën kan lezen, afhankelijkheden begrijpt, bestanden kan aanpassen en over wijzigingen kan redeneren, voegt het een gespecialiseerde laag toe in het detecteren van kwetsbaarheden. Dit zou het zo veel meer maken dan een externe beoordeling aan het einde van de ontwikkelingscyclus; het wordt een constante controle tijdens het schrijven, reviewen en uitrollen van code.
| Component | Wat Mythos zou kunnen bijdragen |
|---|---|
| Claude Code | Repo-beoordeling, detectie van fouten, suggesties voor patches en analyse van pull requests |
| Claude Security | Kloppen van kwetsbaarheden, historie, prioritering en technische triage |
| AppSec-teams | Snellere identificatie van daadwerkelijke kwetsbaarheden en impactvalidatie |
| DevOps / DevSecOps | Vroege integratie in pipelines en deployment workflows |
| Open source | Assistentie bij het opsporen van ernstige fouten, maar ook meer druk op maintainers |
Het meest interessante aspect van Claude Security is het omzetten van gevonden kwetsbaarheden naar concrete acties. Een model dat alleen duizenden potentiële bugs rapporteert, kan overweldigend zijn voor een team. De echte waarde ligt in het uitleggen van het risico, het filteren van valse positieven, aangeven of een kwetsbaarheid exploiteerbaar is, suggesties voor correcties en het prioriteren van what needs fixing.
Ontdekking wordt niet langer de bottleneck
Project Glasswing heeft een ongemakkelijke realiteit blootgelegd: AI begint fouten te ontdekken in een tempo dat de menselijke capaciteit om te verifieren en te patchen kan overtreffen. Anthropic meldt dat Mythos Preview wordt ingezet om software te beveiligen die al veel gebruikt wordt, en recente rapporten wijzen op duizenden gedetecteerde kwetsbaarheden in belangrijke projecten, hoewel veel details uit veiligheidsredenen nog niet publiekelijk bekend zijn.
Dit verschuift de balans in de sector. Jarenlang lag de focus voor een deel op het opsporen van fouten. Met modellen zoals Mythos verschuift het probleem naar het valideren, reproduceren, prioriteren, corrigeren en snel uitrollen van patches. AI kan de ontdekkingstijd verkorten, maar lost niet het probleem op van gebroken afhankelijkheden, trage relecycles of gebrek aan middelen in open source projecten.
Cloudflare, een organisatie die binnen Project Glasswing met Mythos heeft gewerkt, legt uit dat deze modellen kunnen redeneren over exploitationketens en complexe kwetsbaarheden kunnen vinden, maar dat sterke controlemaatregelen noodzakelijk blijven. Het openen van zo’n capaciteit zonder adequate governance is niet verantwoord.
De boodschap voor bedrijven is helder: Mythos kan een voordeel zijn, mits er een volwassen cyberbeveiligingscultuur bestaat. Zonder inventaris van assets, dependency management, SBOM, gecontroleerde CI/CD-processen, duidelijke verantwoordelijkheden en realistische patching-vensters, kan een geavanceerd model inderdaad leiden tot een toename van technische schuld.
Een defensief hulpmiddel met dubbel gebruik risico
Anthropic bevindt zich op scherp. Als Mythos te beperkt wordt ingezet, kunnen security-teams het zien als een verre droom. Als het te vrij wordt gelaten, kunnen ook niet-gevestigde of kwaadaardige actoren gebruik maken van offensive capabilities. Het bedrijf heeft al aangegeven dat ze van plan zijn Mythos-modellen op een gecontroleerde manier beschikbaar te stellen, bijvoorbeeld binnen Enterprise-omgevingen of onder strikte beveiligingsmaatregelen.
Het risico is reëel. De publieke documentatie van Mythos Preview noemt scenario’s waarin ongetrainde gebruikers in staat waren om kwetsbaarheden te ontdekken en functionele bewijzen te verkrijgen. Dit onderstreept dat deze lancering niet slechts een extra functie binnen een code-assistent is.
Voor defensieve teams is het kunnen aantonen van exploitability zeer waardevol: het helpt om te onderscheiden tussen een klein foutje en een urgente kwetsbaarheid. Voor aanvallers verlaagt dezelfde mogelijkheid de werkdruk en tijdsinvestering. Daarom moet het product worden afgewogen met grenzen: tracering, gebruikscontroles, toegangsbeleid, continue red teaming, restricties op gevaarlijke outputs en mogelijk verschillende toegangsrechten afhankelijk van de klantprofielen.
| Defensief voordeel | Gerelateerde risico’s |
|---|---|
| Detectie van diepgaande kwetsbaarheden | Kan aanvallende onderzoek versnellen |
| Ondersteuning bij reproduceren van fouten | Kan gevoelige exploitatiebewijzen opleveren |
| Prioritering van echte problemen | Maakt rapportages complex op grote schaal |
| Verbeterde code review | Kan overmatige afhankelijkheid van het model creëren | Lagere last voor AppSec | Kan het patchproces onder druk zetten |
De komst van Mythos zal ook de markt voor beveiligingshulpmiddelen beïnvloeden. Traditionele tools zoals SAST, DAST, dependency scanners en AppSec-platforms maken al jaren gebruik van statische en semi-statische analyses. Een model dat kan redeneren over code en gedragingen, kan de lat hoger leggen, mits het nauwkeurig genoeg is en de resultaten auditbaar blijven.
Waar moeten technische teams op voorbereid zijn?
De mogelijke opname van Mythos in Claude Code moet niet opgevat worden als een vervanging van bestaande beveiligingspraktijken, maar als een versterking ervan. Ontwikkelteams moeten nadenken over hoe AI op een verantwoorde manier kan worden geïntegreerd in code-beoordelingen, pull requests, pipelines en audits, zonder dat het een black box wordt.
De eerste stap is bepalen waar Mythos het beste kan worden ingezet. Het gebruik in interne repositories, open source libraries, derdepartijcode, firmware, kritieke systemen of gereguleerde omgevingen vereist verschillende benaderingen. Daarnaast moeten ze beslissen wie diepgaande analyses mag uitvoeren, hoe resultaten worden opgeslagen, welke gegevens het bedrijf verlaat en hoe bevindingen met externe leveranciers of projecten worden gedeeld.
De tweede stap is het opstellen van triage-processen. Als de tool een kwetsbaarheid aangeeft, moet iemand bevestigen dat deze echt is, impact beoordelen, verantwoordelijke aanwijzen, patch bepalen, regressietests uitvoeren en de correctie documenteren. AI kan veel van deze stappen versnellen, maar de verantwoordelijkheid blijft bij mensen en organisatie.
De derde stap is voorbereid zijn op een mogelijke toename van rapportages in open source projectbeheer, ondersteund door AI. Sommige rapporten zullen waardevol zijn, anderen ruis. Ongecontroleerd kunnen maintainers overweldigd raken door gedeeltelijk correcte, dubbele of moeilijk te reproduceren meldingen. Goede coördinatie blijft cruciaal.
Mythos vertegenwoordigt een nieuwe fase in software-beveiliging. AI helpt niet alleen bij snellere ontwikkeling, maar breekt ook de software voordat anderen dat doen. Bij correct gebruik kan dit de verdediging aanzienlijk verbeteren. Bij slecht beheer kan het echter de druk op een ecosysteem met al veel onopgeloste kwetsbaarheden vergroten.
Anthropic probeert het balanspunt te vinden: een krachtige technologie ontwikkelen die productieklaar is, maar zich bewust blijven van de dubbelzinnige toepassingsmogelijkheden. Claude Code en Claude Security kunnen het eerste bewijsmoment worden van die overgang.
Veelgestelde vragen
Wat is Claude Mythos?
Claude Mythos is een model van Anthropic gericht op cyberveiligheid, met geavanceerde capaciteiten om kwetsbaarheden op te sporen, code te analyseren en te helpen bij het valideren van bugs in gecontroleerde omgevingen.
Is Mythos al beschikbaar in Claude Code?
Er is geen officiële bevestiging van brede toegang. Interne verwijzingen en signalen zoals claude-mythos-1-preview wijzen op een voorbereiding, maar publieke lancering is nog niet aangekondigd.
Waarom brengt Anthropic het niet zonder restricties uit?
Omdat het een dubbelgebruiksmodel is. Het kan defensieve teams ondersteunen bij het vinden en herstellen van fouten, maar biedt ook mogelijkheden voor offensieve toepassingen zonder strikte controlemaatregelen.
Welke impact heeft het op ontwikkelteams?
Het kan de security-review dichter bij de dagelijkse programmeerworkflow brengen, waardoor kwetsbaarheden eerder worden ontdekt, maar zal ook striktere triage- en patchprocessen vereisen.