AI-model Claude Mythos zet cyberdreigingen op scherp

Tegelijk met de aankondiging publiceerde Anthropic eigen testresultaten, waarin het meerdere AI‑modellen met elkaar vergeleek in een gecontroleerde testomgeving. Deze resultaten zijn weergegeven in figuur 1. Daaruit blijkt dat Mythos in een substantieel deel van de tests zelfstandig tot een succesvolle aanval kwam, terwijl andere modellen soms slechts delen van een aanval wisten uit te voeren, maar meestal voortijdig faalden. Enkele dagen later, op 13 april, volgde een onafhankelijke evaluatie van het Britse AI Security Institute die deze bevindingen bevestigde. Uit deze evaluatie bleek Mythos het eerste AI‑model dat een gesimuleerde cyberaanval op een bedrijf volledig wist uit te voeren. Zo’n aanval bestond uit 32 opeenvolgende stappen, van verkenning tot volledige controle over het netwerk. Ter vergelijking: het beste alternatieve model kwam niet verder dan de helft van de stappen.

Na de aankondiging van Anthropic over Claude Mythos gingen cybersecuritybedrijven op de beurs hard onderuit. Beleggers vrezen dat steeds meer geavanceerde AI-modellen de vraag naar traditionele beveiligingsproducten ondermijnen. Eenzelfde soort vrees zette eerder de koersen onder druk van softwarebedrijven, en met name van bedrijven die zich bezighouden met Software-as-as-Service (SaaS). Die koersreactie raakt aan een bredere verschuiving in cybersecurity. Als aanvallen in hoog tempo en vrijwel zonder menselijke tussenkomst kunnen worden uitgevoerd, volstaat het stapelen van losse detectie-tools niet meer. Beveiliging moet dan van A tot Z geïntegreerd zijn: van het beveiligd bouwen van softwareprogramma’s tot het continu in de gaten houden van systemen en snel ingrijpen bij aanvallen. Volgens experts zijn veel organisaties daar nog niet op ingericht.

Zeker met de komst van Claude Mythos worden bestaande zwaktes in de beveiliging nog scherper zichtbaar. Voor veel organisaties ligt het grootste risico niet in het ontbreken van geavanceerde tools, maar in gebrekkige basisveiligheid: verouderde toegangsrechten, inconsistent beveiligingsbeleid, gefragmenteerde zichtbaarheid over systemen en trage wijzigingsprocessen. Waar een menselijke beveiligingsspecialist vaak uren, soms een hele werkdag, nodig heeft om een kwetsbaarheid te vinden en te beoordelen, kan een model als Mythos dat in veel kortere tijd. Die ontwikkeling blijft niet beperkt tot het sneller kunnen opsporen van afzonderlijke beveiligingslekken, want modellen als Mythos zijn bovendien in staat om in korte tijd aanvallen op complete systemen te doen.

Twee strategische keuzes

Organisaties die hun cybersecuritystrategie heroverwegen hebben twee opties: zelf organiseren of uitbesteden aan een gespecialiseerde partij. Die afweging is niet nieuw, maar de context is nu anders.Zelf organiseren betekent dat een organisatie verantwoordelijk is voor continue kwetsbaarheidsscans, actueel toegangsbeheer, snelle installatie van beveiligingsupdates en permanente monitoring van het volledige IT‑landschap. Dit vereist blijvende investeringen in technische middelen en gespecialiseerde kennis, zaken die echter voor de meeste bedrijven buiten de kernactiviteit vallen. Op papier is dit de goedkoopste optie, maar in de praktijk maakt Mythos deze aanpak risicovoller. Mythos kan kwetsbaarheden namelijk sneller vinden, combineren en exploiteren dan traditionele teams kunnen bijbenen, waardoor bestaande achterstanden direct worden omgezet in concrete bedreigingen.

Het alternatief is uitbesteden aan een gespecialiseerde cybersecuritypartij. Het verschil met zelf doen zit vooral in schaal en tempo. Gespecialiseerde bedrijven bewaken complete IT‑omgevingen, combineren continue monitoring met gedeelde dreigingsinformatie, voeren geautomatiseerde controles uit en grijpen snel in bij incidenten. Omdat zij deze diensten voor meerdere klanten tegelijk leveren, kunnen zij een tempo aanhouden dat voor individuele organisaties moeilijk haalbaar is. Dat tempo is inmiddels cruciaal: aanvallers opereren op machinesnelheid, zonder pauzes of menselijke afwegingen. Voor veel organisaties, en zeker voor mkb’ers en bedrijven waarvoor digitale infrastructuur geen kernactiviteit is, is dit tempo financieel en organisatorisch nauwelijks bij te benen.

Uitbesteden is niet per definitie goedkoper, maar biedt wel permanente expertise en directe reactiekracht, waardoor organisaties beter bestand zijn tegen de versnelling en schaalvergroting die AI‑modellen als Mythos mogelijk maken.

Kanttekeningen bij de claims

Gezond wantrouwen blijft van belang. Sommige experts betwijfelen of de prestaties van Claude Mythos zo baanbrekend zijn als wordt gesuggereerd. Zo stelt Heidi Khlaaf, Chief AI Scientist bij het Amerikaanse AI Now Institute, dat Anthropic geen vergelijkingen publiceert met bestaande beveiligingssoftware die al jaren wordt gebruikt om broncode automatisch te controleren op fouten en kwetsbaarheden. Ook ontbreekt een van de belangrijkste maatstaven in beveiligingsonderzoek: het aantal false positives, oftewel waarschuwingen voor problemen die bij nader inzien geen echt risico blijken te zijn. Zonder inzicht daarin is niet vast te stellen of het model daadwerkelijk efficiënt kwetsbaarheden vindt, of vooral veel schijnproblemen oplevert die alsnog handmatig door experts moeten worden uitgezocht.

Daarnaast kan dezelfde capaciteit die het voor Mythos mogelijk maakt om cyberaanvallen te doen, tegelijk worden ingezet als verdediging tegen zulke aanvallen. Als AI elke kwetsbaarheid sneller kan vinden dan een menselijk team, dan wordt de vraag wie het als eerste gebruikt: de aanvaller of de verdediger. Kwetsbaarheden die tientallen jaren traditionele tests overleefden worden nu in weken gevonden en gedicht. Anthropic trekt daarbij een parallel met vroege beveiligingstools die eerst ook zorgden voor onrust, maar uiteindelijk onmisbaar werden voor de verdedigingsinfrastructuur.

Deze overgangsperiode, waarin de capaciteit er al is maar de verdedigende infrastructuur er nog niet op is ingericht, is precies het moment waarop het risico het grootst is. Mythos is niet het enige model van dit kaliber dat eraan komt. OpenAI, de maker van ChatGPT, werkt naar verluid aan een vergelijkbaar model. Anthropic verwacht dat vergelijkbare modellen binnen zes tot twaalf maanden breed beschikbaar kunnen zijn, ook van partijen buiten de Verenigde Staten. 

De Cloud Security Alliance, een internationaal opererende non‑profitorganisatie, waarschuwt dan ook voor een storm aan ‘AI‑kwetsbaarheden’: een situatie waarin er structureel meer beveiligingslekken worden ontdekt dan organisaties met hun bestaande processen, budgetten en personeel aankunnen.Deze tijdsdruk weegt extra zwaar omdat veel organisaties al vóór de komst van Mythos moeite hadden om hun digitale weerbaarheid structureel op orde te krijgen. In een eerdere publicatie uit 2025 liet ABN AMRO zien dat een aanzienlijk deel van de Nederlandse bedrijven al schade had geleden door cybercriminaliteit, terwijl vooral mkb’ers en zelfstandigen hun eigen weerbaarheid structureel overschatten. De nadruk lag op basismaatregelen, maar proactieve detectie en herstelcapaciteit ontbraken vaak. Claude Mythos vergroot precies dat bestaande probleem, doordat het bestaande tekortkomingen sneller en op grotere schaal kan uitbuiten. Ondernemers die cybersecurity tot op heden als bijzaak zagen, moeten inzien dat het inmiddels om een strategisch vraagstuk gaat.

Door: Amad Khan, Sector Analist TMT & Business Services ABN AMRO en Mario Bersem, sectoreconoom TMT