Er zit een nieuw AI-model op slot. Niet omdat het nog niet af is, of omdat de technologie nog moet rijpen, maar omdat het zo goed is in het vinden van beveiligingslekken dat de makers bang zijn voor wat er gebeurt als het verkeerde mensen er toegang toe krijgen.
Dat model heet Mythos, en het is van Anthropic, het bedrijf achter Claude. Eind april 2026 werd duidelijk waarom ze het binnenshuis houden: Mythos Preview, de naam van de testversie die intern circuleert, scande op eigen kracht door softwarecode heen en vond duizenden kritieke kwetsbaarheden. In de Firefox-browser alleen al ontdekte het 271 lekken. In Windows, macOS, Linux en vrijwel elke grote browser vond het vergelijkbare problemen, grotendeels automatisch en in een fractie van de tijd die menselijke beveiligingsonderzoekers nodig zouden hebben.
Wat Mythos precies doet
Een klassieke beveiligingsonderzoeker werkt als volgt: code doorzoeken, hypotheses opstellen over mogelijke zwakke plekken, tests schrijven, bijstellen en herhalen. Goed werk, maar traag. Mythos compresseert dat proces naar uren.
Anthropic CEO Dario Amodei omschreef het als een model dat "slechts de meest bekwame menselijke beveiligingsexperts" kan evenaren - maar dan zonder pauze, en voor elke codebase tegelijk. Wat dat concreet betekent: kwetsbaarheden die experts jaren over het hoofd zagen, worden nu in een nacht gevonden.
Het gaat niet alleen om het vinden van lekken. Mythos kan ook exploits schrijven: de code die een gevonden lek daadwerkelijk misbruikt. Dat is de stap die van een abstract beveiligingsprobleem een concreet wapen maakt. Je zou het kunnen vergelijken met een slotenmaker die niet alleen ziet dat een slot slecht zit, maar ook meteen een loper slijpt die het opent.
Waarom de Fed en de Amerikaanse overheid alarm sloegen
Normaal bemoeit de Amerikaanse centrale bank zich niet met AI-modellen. Maar in april zaten Fed-voorzitter Jerome Powell en minister van Financiën Scott Bessent aan tafel met de topmannen van JP Morgan, Goldman Sachs, Citigroup, Bank of America en Morgan Stanley. Onderwerp: wat te doen als Mythos in verkeerde handen valt?
Banken zijn de meest aangevallen sector als het gaat om cybercriminaliteit. Financiële systemen draaien op software die jaren of zelfs decennia oud is en vol zit met code waar nog nooit iemand systematisch naar heeft gekeken. Een model als Mythos kan dat veranderen, in beide richtingen.
Amodei gaf de wereld zes tot twaalf maanden. Zo lang heeft de industrie volgens hem om de meest kritieke lekken te dichten voordat Chinese AI-modellen vergelijkbare capaciteiten krijgen. Dat is niet veel tijd als je bedenkt hoeveel software er in de wereld draait.
Project Glasswing: een gecontroleerde race tegen de klok
Anthropic zet Mythos niet gewoon online. Via Project Glasswing krijgen zo'n veertig geselecteerde technologiebedrijven en instellingen tijdelijk toegang. Die mogen het model gebruiken om hun eigen systemen door te lichten, nieuwe lekken te dichten en zich voor te bereiden op wat eraan komt.
De bedoeling is niet dat Mythos als aanvalstool wordt ingezet, maar als verdedigingsinstrument: lekken vinden voordat kwaadwillenden dat doen. Het NCSC, het Nederlandse nationale cybersecurity-centrum, publiceerde begin mei een gerichte waarschuwing en spoorde organisaties aan direct actie te ondernemen om systemen te patchen en te hardenen. Zie ook de officiële NCSC-waarschuwing over Mythos voor meer context.
Zo gevaarlijk dat het al eens werd gestolen
Op 22 april werd bekend dat onbevoegden toegang hadden gekregen tot Mythos, nog voordat het officieel was aangekondigd. Niet via een technisch lek in Anthropics systemen, maar via een medewerker van een externe dienstverlener. Die persoon, samen met anderen, wist de online locatie van het model te achterhalen op basis van kennis over eerdere modellen.
Het is een ongemakkelijk signaal: het gevaarlijkste AI-beveiligingsmodel ter wereld is al eens, in de testfase, in verkeerde handen terechtgekomen. The Next Web berichtte uitgebreid over de gevolgen voor de banksector en de reacties van overheden wereldwijd.
Wat dit voor jou betekent
Als individu ben je geen doelwit van staatshackers die AI-tools inzetten. Maar de gevolgen zijn indirect voelbaar. Banken, ziekenhuizen, overheidsdiensten en telecomproviders die kwetsbare software draaien, vormen een risico voor iedereen die van die diensten afhankelijk is.
Wat je zelf kunt doen is saai maar effectief: software-updates installeren zodra ze beschikbaar zijn. Elke update voor Windows, macOS, Android of iOS bevat patches voor kwetsbaarheden. Sommige van die kwetsbaarheden zijn straks ook via Mythos-achtige modellen te vinden, en dan te misbruiken. Hoe langer je wacht met updaten, hoe groter het raam voor aanvallers.
Gebruik tweestapsverificatie voor je bank, e-mail en sociale media. Niet als vaag voornemen, maar als concrete instelling die je deze week even uitvinkt. En bedenk: als je thuis smart home-apparaten hebt draaien, geldt hetzelfde. Lees ook ons artikel over slimme gadgets voor thuis als je wilt weten welke apparaten standaard goede beveiliging bieden.
Mythos maakt duidelijk dat het tijdperk van handmatig zoeken naar beveiligingslekken voorbij is. Dat is goed nieuws voor de verdediging, maar ook voor de aanval. De vraag is alleen wie sneller patcht dan aanvallers kwetsbaarheden kunnen misbruiken. Op dit moment wedden genoeg slimme mensen dat het een race is die de verdediging kan winnen, maar dan moet die verdediging wel in beweging komen.