Anthropic, een bedrijf dat zich richt op kunstmatige intelligentie, heeft recentelijk een alarmerend onderzoek gepubliceerd over de snelle ontwikkeling van AI en de gevaren die daarbij komen kijken. Het experimentele Mythos-model van Anthropic is nu in staat om publiekelijk bekende softwarekwetsbaarheden binnen enkele uren om te zetten in werkende aanvalstools. Dit werpt een nieuw licht op de discussie rond cyberveiligheid en kunstmatige intelligentie, die tot nu toe voornamelijk gericht was op het identificeren van nieuwe veiligheidslekken.
Wat dit onderzoek zo zorgwekkend maakt, is het vermogen van AI om bekende zwakheden te ‘bewapenen’. Dit betekent dat informatie die al openbaar beschikbaar is, kan worden omgezet in operationele exploits die kunnen worden gebruikt voor aanvallen. Voorheen kostte het dagen of zelfs weken aan gespecialiseerd onderzoek om deze procedures uit te voeren, maar met de AI-modellen van Anthropic kan dit nu binnen enkele uren worden gedaan.
Het beveiligingsteam van Anthropic heeft Mythos Preview getest op kwetsbaarheden die begin 2026 werden onthuld in de Windows-kernel van Microsoft en de Firefox-browser van Mozilla. De resultaten waren verontrustend. In slechts 31 minuten wist Mythos een proof-of-concept-exploit te creëren voor een Windows-kwetsbaarheid. Van de 21 onderzochte kwetsbaarheden in de Windows-kernel wist het model in 18 gevallen het bekende “Blue Screen of Death” te veroorzaken en creëerde het in totaal acht verschillende exploits. Soortgelijke prestaties werden behaald in Firefox, waar het model acht functionele exploits voor het uitvoeren van externe code kon creëren.
Het grootste probleem met deze ontwikkeling is dat de meeste cyberaanvallen niet gebaseerd zijn op onbekende kwetsbaarheden, maar op bekende zwakheden waarvoor al oplossingen bestaan. Het zogenaamde ‘patch gap’, de tijd tussen de openbaarmaking van een kwetsbaarheid en de volledige implementatie van oplossingen, is al jaren een van de grootste uitdagingen op het gebied van cyberbeveiliging. Met AI die binnen enkele uren exploits kan creëren, hebben bedrijven mogelijk veel minder tijd om hun systemen te beschermen.
Anthropic benadrukt dat het fenomeen niet exclusief is voor Mythos; vergelijkbare mogelijkheden zijn ook geïdentificeerd in andere geavanceerde kunstmatige intelligentiesystemen. Het bedrijf schat dat de kosten voor het maken van de exploits ongeveer $15.700 aan API-gebruikskredieten bedroegen, wat neerkomt op ongeveer $2.000 per exploit.
Deze bevindingen komen op een cruciaal moment, nu de regering-Trump begint met de implementatie van een nieuw uitvoeringsbesluit over de beveiliging van kunstmatige intelligentie. Het doel is om de risico’s te beoordelen die steeds krachtigere AI-modellen kunnen opleveren voor de nationale veiligheid. De groeiende bezorgdheid is dat dezelfde technologie die de verdediging tegen cyberaanvallen kan versterken, ook aanvallers nieuwe mogelijkheden zou kunnen bieden.
Kortom, de snelle ontwikkeling van kunstmatige intelligentie brengt nieuwe en complexe uitdagingen met zich mee op het gebied van cyberveiligheid. Het is essentieel dat bedrijven en overheden proactief handelen om zich te beschermen tegen deze dreigingen en de risico’s die gepaard gaan met AI-gebaseerde aanvallen te minimaliseren.
