Claude Mythos is één van de meest gewilde en verfijnde tools binnen de nieuwe cybersecurity met kunstmatige intelligentie. De Europese Unie onderhandelt met Anthropic over een mogelijke toegang voor ENISA, grote technologiebedrijven nemen deel aan Project Glasswing, en hoofdrolspelers in de beveiligingssector zien het model als een stuk dat het verschil kan maken tussen vroegtijdig patchen of te lang blootgesteld blijven.
De interesse is geen toeval. Mythos presenteert zich niet als een conventionele programmeerassistent of als een ander model voor samenvatten van rapporten of codeherziening. Anthropic omschrijft het als een systeem met bijzonder sterke capaciteiten in offensieve en defensieve beveiligingstaken, in staat om complexe kwetsbaarheden te detecteren, kritisch software te redeneren en te helpen bij het voorbereiden van correcties. In de praktijk is het uitgegroeid tot een soort “verdedigingswapen” dat niemand graag in verkeerde handen zou zien, maar dat iedereen dichtbij wil houden om hun eigen systemen te beschermen.
De Europese Commissie onderhoudt gesprekken met Anthropic over het toekomstige toegang krijgen van Europese instituties tot Claude Mythos. Volgens de publicaties zou het idee zijn dat ENISA, het Europees Agentschap voor Cybersecurity, kan toetreden tot een beperkt netwerk van entiteiten met gecontroleerde toegang tot het model. Het zou geen open toegang of grootschalige commerciële beschikbaarheid betreffen, maar een beperkt toegangsrecht voor institutionele defensie.
Mythos is al de maatstaf waar iedereen naar kijkt
De reden waarom Mythos zoveel interesse wekt, ligt in de sprong aan capaciteit die het vertegenwoordigt. Anthropic presenteerde Claude Mythos Preview binnen Project Glasswing, een initiatief dat bedoeld is om kritieke software te beschermen voordat soortgelijke modellen algemeen gebruik worden. Volgens het bedrijf toont het model het vermogen om zero-day kwetsbaarheden te identificeren en uit te buiten in grote besturingssystemen en webbrowsers tijdens interne evaluaties.
Nieuws.ai volgt deze beweging nauwlettend en benadrukt dat Anthropic niet heeft gekozen voor een open lancering van Mythos, maar het heeft ingeperkt tot een defensief programma met geselecteerde partners. Onder de deelnemers die worden genoemd, bevinden zich AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, de Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. Deze lijst onderstreept het belang van het model: het is niet slechts een experimenteel hulpmiddel voor nieuwsgierigen, maar een capaciteit die van grote waarde is voor partijen die een aanzienlijk deel van de wereldwijde technologische infrastructuur beheren.
De onderliggende boodschap is ongemakkelijk. Als Mythos fouten kan vinden die jaren onopgemerkt bleven, kunnen early access-deelnemers eerder hun producten corrigeren, hun platforms versterken en tijd winnen ten opzichte van toekomstige aanvallers. Degenen zonder toegang zullen afhankelijk blijven van rapporten, patches van derden of minder geavanceerde mogelijkheden.
Daarom wil de EU erbij zijn. Brussel wil niet alleen een trendy instrument testen. Het wil inzicht krijgen in welke defensieve voordelen andere actoren verkrijgen en hoe deze lessen kunnen worden toegepast op banken, overheidsdiensten, kritieke operators, techbedrijven en Europese dienstverleners.
| Acteur of initiatief | Rol rond Mythos |
|---|---|
| Anthropic | Ontwikkelt Claude Mythos Preview en beheert de toegang |
| Project Glasswing | Defensief programma ter bescherming van kritieke software |
| ENISA | Mogelijk Europees orgaan met toegang tot Mythos |
| Grote techbedrijven | Zoeken het te gebruiken om kwetsbaarheden te ontdekken en te corrigeren |
| Banken en kritieke sectoren | Willen hun blootstelling aan onbekende fouten verminderen |
| Europese toezichthouders | Evalueren impact, toegang en risico’s op dubbel gebruik |
| Veiligheidsleveranciers | Observeren hoe geavanceerde AI kan worden geïntegreerd in echte verdediging |
Het model dat iedereen wil, maar niemand wil vrijgeven
De spanning rondom Mythos ligt in het feit dat de defensieve waarde ervan voortkomt uit dezelfde capaciteit die het gevaarlijk kan maken. Een systeem dat diepgaande kwetsbaarheden kan vinden, zou ook kunnen helpen bij het ontwikkelen van exploits, het koppelen van fouten of het automatiseren van aanvalsfases, indien het zonder controle werd vrijgegeven. Daarom houdt Anthropic de toegang beperkt.
In cybersecurity bestaat deze dualiteit altijd al. Dezelfde technieken die een systeem kunnen auditen, kunnen het ook aanvallen. De schaal is nu het verschil. Een deskundig team kan tijd besteden aan het onderzoeken van een complex onderdeel, een fout reproduceren, de impact begrijpen en een bewijs ontwikkelen. Een geavanceerd model kan dat proces versnellen en toepassen op grote codebases of binaries.
De echte verandering ligt hier. AI vervangt niet de noodzaak van menselijke onderzoekers, maar kan hun bereik aanzienlijk vergroten. Het kan meer oppervlakken controleren, exploit-routes suggereren, helpen prioriteren, en de tijd tot correctie verkorten. Als die capaciteit alleen in handen is van een selecte groep, ontstaat er een asymmetrisch voordeel in de softwareverdediging.
De aanwezigheid van concurrerende modellen bevestigt dat de markt beweegt. OpenAI heeft verificatieprogramma’s voor cybersecurity gericht modellen geïntroduceerd, en andere aanbieders werken aan soortgelijke capaciteiten. Maar Mythos is momenteel de publieke referentie. Niet omdat er geen rivalen zullen komen, maar omdat het nu het model is dat de meeste aandacht krijgt van techbedrijven, banken, overheden en toezichthouders.
In een sector die gewend is te praten over EDR, SIEM, SOAR, pentesten, bug bounty en kwetsbaarheidsbeheer, introduceert Mythos een nieuwe categorie: grensverleggende modellen die als gevrijwaardeerde beveiligingsonderzoekers kunnen functioneren. Deze categorie kan de relatieve voorsprong tussen aanvallers en verdedigers aanzienlijk beïnvloeden.
De nieuwe knelpunten: corrigeren voordat er wordt uitgebroken
De discussie stopt niet bij het vinden van kwetsbaarheden. Eigenlijk kan dat zelfs minder belangrijk worden. Nieuws.ai benadrukte bij de analyse van Project Glasswing dat, als modellen zoals Mythos de detectie van fouten vergroten, de bottleneck ligt in het tijdig verifiëren, communiceren en corrigeren.
Dit is cruciaal. Een model kan duizenden mogelijke fouten opsporen, maar elke bevinding moet worden gevalideerd. Moet worden vastgesteld of het exploiteerbaar is, welke versies getroffen zijn, wat de werkelijke impact is, hoe het te corrigeren zonder compatibiliteit te schaden, en hoe het patchproces in productie te implementeren. In kritieke software kan die keten langzaam en complex zijn.
Het risico bestaat dat AI meer kwetsbaarheden aan het licht brengt dan de industrie kan verwerken. Zonder goede processen kan een krachtig hulpmiddel leiden tot een onhandelbare achterstand aan problemen. Daarom is het niet voldoende om Mythos “bij de hand” te hebben. Organisaties hebben engineering, governance, coördinatie met beheerders, respons teams en echte patchcapaciteit nodig.
Hieruit volgt een belangrijke les voor Europa. Toegang krijgen tot Mythos kan helpen, maar vervangt geen volledige cybersecurity-strategie. ENISA kan de capaciteiten beoordelen, best practices coördineren en lessen delen. Maar Europese kritieke sectoren hebben snellere remediëringsprocessen nodig, betrouwbaardere software-inventarissen en betere update-mechanismen.
Waarom iedereen bij Project Glasswing wil horen
Project Glasswing is meer geworden dan een technisch programma. Het is een strategische positie. Deel uitmaken betekent vroegtijdige toegang tot een vermogen dat kwetsbaarheden detecteert voordat andere modellen, onderzoekers of aanvallers dat doen. Buitenblijven betekent wachten op de reguliere patchkanalen.
Voor grote techbedrijven kan dit het verschil betekenen tussen het ontdekken van een kwetsbaarheid in hun eigen product en het zien verschijnen in een actieve aanvalscampagne. Voor banken en kritieke operators kan het helpen afhankelijkheden, verouderde systemen, of componenten te evalueren die niet altijd voldoende aandacht krijgen. Voor overheidsinstanties kan het inzicht bieden in systeemrisico’s binnen gedeelde infrastructuren.
De race gaat niet alleen over het model met de meeste of de beste functies. Het gaat over degenen die toegang krijgen tot het juiste model, met de juiste autorisaties, voordat het risico zich manifesteert. In cybersecurity is tijd een cruciale factor. Een week eerder patchen kan een crisis voorkomen. Een aanvalsketen detecteren voordat het wordt uitgebracht kan miljoenen systemen beschermen.
Daarom lijkt Mythos momenteel geen gelijke te hebben in de markt. Er zijn concurrerende initiatieven en meer zullen waarschijnlijk volgen, maar geen enkele heeft zo snel de aandacht getrokken van instellingen, bedrijven en regulators. Het feit dat Europa aandringt op toegang tot dit model bevestigt dat Mythos een referentie is geworden.
Europa kan niet afhangen van andermans modellen
De mogelijke integratie van ENISA in dit ecosysteem is positief, maar roept ook een fundamentele vraag op: kan Europa het zich veroorloven om afhankelijk te zijn van Amerikaanse modellen om haar kritieke software te verdedigen? Het antwoord is tweeledig. Op korte termijn moeten Europa wel toegang krijgen tot deze tools om niet achter te blijven. Op middellange en lange termijn is het noodzakelijk om eigen capaciteiten te ontwikkelen.
Soevereiniteit in cybersecurity gaat niet alleen over nationale CERTs, regelgeving zoals NIS2 of lokale leveranciers. Het betekent ook beschikken over modellen, datasets, evaluatie-omgevingen, laboratoria en teams die geavanceerde defensieve AI kunnen toepassen op Europees kritieke software. Regels kunnen resilitentie eisen, maar ware weerbaarheid bouw je met tools, talent en infrastructuur.
Claude Mythos heeft een nieuwe realiteit zichtbaar gemaakt. AI toegepast op cybersecurity is niet meer slechts een copiloot voor rapporten of alarmsystemen. Het kan een laag vormen voor zoeken, valideren en corrigeren van kwetsbaarheden. Wie daarin voorloopt en het goed gebruikt, staat sterker.
Dezelfde capaciteiten kunnen echter ook het niveau van aanvallers verhogen. Daarom is gecontroleerde toegang, defensieve programma’s en samenwerking tussen bedrijven, overheden en software-ontwikkelaars cruciaal. Anders loopt men het risico op een ongeordende race waarbij krachtige modellen zonder toezicht worden gekopieerd of misbruikt.
De EU concludeert dat, als grote actoren Mythos willen gebruiken om zich te beschermen, Europa niet kan toekijken. In de nieuwe AI-gedreven cybersecurity zijn toegang tot deze modellen en het vertalen van de bevindingen naar daadwerkelijke patches even belangrijk. Mythos is niet enkel een hulpmiddel; het is een signaal voor de toekomst van digitale verdediging.
Veelgestelde vragen
Wat is Claude Mythos Preview?
Claude Mythos Preview is een geavanceerd model van Anthropic gericht op cybersecuritytaken, zoals het opsporen van kwetsbaarheden, analyseren van code, gecontroleerde tests en ondersteuning bij patchen.
Waarom willen velen toegang tot Mythos?
Omdat het kan helpen kwetsbaarheden eerder dan aanvallers te vinden, risico’s te prioriteren en de correctie van kritieke software te versnellen.
Waarom biedt Anthropic het niet publiekelijk aan?
Omdat de mogelijkheden dubbel zijn: het beschermt systemen, maar kan ook gebruikt worden voor aanvallen indien zonder controle gebruikt.
Welke rol kan ENISA spelen?
ENISA kan gecontroleerde toegang krijgen om Mythos te evalueren, lessen te coördineren en Europese voorbereiding te versterken op dreigingen door AI.
Bronnen:
- Noticias.ai, “Anthropic presenteert Mythos en waarschuwt: AI kan cybersecurity veranderen”.
- Noticias.ai, “Project Glasswing onthult nieuwe knelpunten in cybersecurity”.
- Noticias.ai, “Anthropic brengt Mythos dichter bij Claude Code en opent een nieuw cybersecuritytijdperk”.
- Anthropic, “Project Glasswing: Kritieke software beveiligen voor het AI-tijdperk”.
- Anthropic, “Claude Mythos Preview”.
- ENISA, Europees Agentschap voor Cybersecurity.