Anthropic houdt AI-model geheim na duizenden kwetsbaarheden

·
Luister naar dit artikel~5 min
Anthropic houdt AI-model geheim na duizenden kwetsbaarheden

Anthropic's krachtigste AI-model vond duizenden beveiligingslekken, maar wordt niet vrijgegeven. In plaats daarvan gaat het naar organisaties die internet veilig houden via Project Glasswing, met partners als Google en Microsoft.

Stel je voor: een AI-model dat duizenden beveiligingslekken vindt in elk groot besturingssysteem en elke webbrowser. Dat is precies wat er gebeurde bij Anthropic. Maar in plaats van hun krachtigste model vrij te geven, deden ze iets anders. Ze gaven het stilletjes aan de organisaties die verantwoordelijk zijn voor het draaiende houden van internet. Dat model heet Claude Mythos Preview, en het hele initiatief draagt de naam Project Glasswing. Het voelt een beetje als een superheldenteam dat in het geheim samenwerkt om de wereld te beschermen. ### Wie doet er allemaal mee? De lijst met partners leest als een who's who van de techwereld. We hebben het over: - Amazon Web Services - Apple - Broadcom - Cisco - CrowdStrike - Google - JPMorganChase - De Linux Foundation - Microsoft - Nvidia - Palo Alto Networks Naast deze kernpartners heeft Anthropic de toegang uitgebreid naar meer dan 40 andere organisaties die kritieke software-infrastructuur bouwen of onderhouden. En ze investeren flink: tot ongeveer €92 miljoen aan gebruikskredieten voor Mythos Preview, plus zo'n €3,7 miljoen aan directe donaties aan open-source beveiligingsorganisaties. ![Visuele weergave van Anthropic houdt AI-model geheim na duizenden kwetsbaarheden](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-94ca5338-c54b-4795-9145-4e0941c0f121-inline-1-1776118648758.webp) ### Een model dat zijn eigen tests ontgroeide Het gekke is: Mythos Preview werd niet specifiek getraind voor cybersecurity-werk. Volgens Anthropic ontstonden de capaciteiten "als een neveneffect van algemene verbeteringen in code, redeneren en autonomie". Diezelfde verbeteringen die het model beter maken in het oplossen van kwetsbaarheden, maken het ook beter in het misbruiken ervan. En dat laatste is belangrijk. Mythos Preview is zo goed geworden dat het de bestaande beveiligingstests eigenlijk overbodig maakt. Daarom richt Anthropic zich nu op nieuwe, echte taken – specifiek zero-day kwetsbaarheden. Dat zijn fouten die voorheen onbekend waren bij de ontwikkelaars van de software. Neem bijvoorbeeld een 27 jaar oude bug in OpenBSD, een besturingssysteem bekend om zijn sterke beveiliging. Of een geval waarin het model volledig autonoom een 17 jaar oude kwetsbaarheid in FreeBSD identificeerde en misbruikte – CVE-2026-4747 – waardoor een niet-geverifieerde gebruiker overal op internet volledige controle kon krijgen over een server die NFS draait. Nicholas Carlini van het onderzoeksteam van Anthropic beschreef het zo: "Dit model kan exploits maken van drie, vier, of soms vijf kwetsbaarheden die samen een heel geavanceerd resultaat geven. Ik heb de afgelopen weken meer bugs gevonden dan in de rest van mijn leven bij elkaar." ![Visuele weergave van Anthropic houdt AI-model geheim na duizenden kwetsbaarheden](https://ppiumdjsoymgaodrkgga.supabase.co/storage/v1/object/public/etsygeeks-blog-images/domainblog-94ca5338-c54b-4795-9145-4e0941c0f121-inline-2-1776118653718.webp) ### Waarom wordt het niet vrijgegeven? Newton Cheng, Frontier Red Team Cyber Lead bij Anthropic, legt uit: "We zijn niet van plan Claude Mythos Preview algemeen beschikbaar te maken vanwege zijn cybersecurity-mogelijkheden. Gezien het tempo van AI-vooruitgang, zal het niet lang duren voordat zulke capaciteiten zich verspreiden, mogelijk naar partijen die niet toegewijd zijn aan veilige inzet. De gevolgen – voor economieën, openbare veiligheid en nationale veiligheid – kunnen ernstig zijn." Dit is geen hypothetisch scenario. Anthropic heeft eerder al gemeld over wat ze beschrijven als het eerste gedocumenteerde geval van een cyberaanval die grotendeels door AI werd uitgevoerd – een door de Chinese staat gesponsorde groep die AI-agenten gebruikte om autonoom ongeveer 30 wereldwijde doelen te infiltreren, waarbij AI het merendeel van de tactische operaties zelfstandig afhandelde. Het bedrijf heeft ook privé-briefings gegeven aan hoge Amerikaanse overheidsfunctionarissen over de volledige mogelijkheden van Mythos Preview. De inlichtingengemeenschap weegt nu actief af hoe het model zowel offensieve als defensieve hacking-operaties zou kunnen hervormen. ### Het open-source probleem Een aspect van Project Glasswing dat verder gaat dan de hoofdlijn: open-source software. Jim Zemlin, CEO van de Linux Foundation, zei het duidelijk: "In het verleden was beveiligingskennis een luxe die was voorbehouden aan organisaties met grote beveiligingsteams. Open-source-onderhouders, wiens software een groot deel van 's werelds kritieke infrastructuur ondersteunt, hebben historisch gezien zelf moeten uitzoeken hoe ze beveiliging moesten aanpakken." Het is een beetje alsof je de architecten van onze digitale wereld vraagt om ook nog eens de brandweer te zijn. En dat terwijl hun werk overal wordt gebruikt. Project Glasswing probeert die kloof te overbruggen door deze kritieke ontwikkelaars toegang te geven tot tools die voorheen alleen beschikbaar waren voor de grootste spelers. Wat betekent dit allemaal voor de toekomst van cybersecurity? We staan aan het begin van een nieuw tijdperk waarin AI zowel onze grootste beschermer als onze grootste bedreiging kan worden. Het feit dat bedrijven als Anthropic bewust kiezen voor verantwoordelijkheid boven winst, geeft wel hoop. Maar het blijft een delicate balans – en een race tegen de klok.

📌 Aanbevolen Bron