AI vindt duizenden cyberkwetsbaarheden, maar de menselijke 'patch-bottleneck' dreigt

Met de inzet van een geavanceerd testmodel, genaamd Claude Mythos Preview, is de afgelopen weken de jacht geopend op kwetsbaarheden in systemisch belangrijke software. De resultaten zijn even indrukwekkend als verontrustend. Grote infrastructuurpartijen zoals Cloudflare, Palo Alto Networks en Mozilla doen mee aan het project om hun code te harden voordat kwaadwillenden vergelijkbare AI-technologie in handen krijgen.

Een tsunami aan digitale lekken

De snelheid waarmee de AI fouten opspoort, overtreft alle verwachtingen. Beveiligingsteams melden dat hun tempo om bugs te vinden met een factor tien is gestegen. Cloudflare alleen al ontdekte 2.000 bugs in cruciale systemen, waarvan 400 met een hoge of kritieke urgentie. Mozilla vond tijdens tests 271 kwetsbaarheden in Firefox 150—ruim tien keer zoveel als bij eerdere inspecties met oudere AI-modellen.

Ook buiten de softwaresector bewijst de technologie zijn nut. Bij een van de deelnemende banken wist het AI-model een frauduleuze overboeking van 1,5 miljoen dollar te voorkomen, nadat aanvallers hadden ingebroken op het e-mailaccount van een klant en deepfake-telefoontjes pleegden.

Naast de private partners nam Anthropic ook de opensourcesoftware onder de loep die het fundament vormt van het wereldwijde internet. De AI scande meer dan duizend projecten en schatte dat er ruim 6.200 zware kwetsbaarheden in de code zaten. Na handmatige controle door onafhankelijke beveiligingsbedrijven bleek ruim 90 procent van de meldingen inderdaad te kloppen. Een van de pijnlijkste vondsten was een lek in wolfSSL, een cryptografische bibliotheek die door miljarden apparaten wereldwijd wordt gebruikt. De AI slaagde erin een methode te bouwen waarmee aanvallers bankcertificaten konden vervalsen om zo ongemerkt legitiem ogende nepsites te hosten.

De mens als de zwakste schakel

De vloedgolf aan data legt echter een pijnlijk structureel probleem bloot in de cybersecurity: de menselijke factor. Het vinden van een lek is met AI een kwestie van minuten geworden, maar het verifiëren, rapporteren en 'patchen' (repareren) van de code vereist nog altijd intensief handwerk van software-ontwikkelaars en systeembeheerders.

"Vrijwillige beheerders van opensourceprojecten worden momenteel bedolven onder een vloedgolf aan AI-gegenereerde bugrapporten", schrijft Anthropic in een eerste update over het project. "Sommige beheerders hebben ons letterlijk gesmeekt om het tempo van de meldingen te verlagen, omdat ze de capaciteit simpelweg niet hebben om de patches te ontwerpen."

Gemiddeld duurt het momenteel twee weken om een kritiek lek te dichten. Omdat de sector traditioneel vasthoudt aan een gecontroleerde disclosure-periode van 90 dagen — om te voorkomen dat hackers misbruik maken van een bekend lek voordat de update klaarstaat — is het leeuwendeel van de tienduizend gevonden kwetsbaarheden nog niet publiek gemaakt.

Het risico van deze tussenfase is groot. Als cyberdefenders de updates niet snel genoeg kunnen verwerken, ontstaat er een gevaarlijk window of opportunity voor aanvallers. Zodra AI-modellen van dit kaliber breder beschikbaar komen, kunnen ook hackers met een druk op de knop kwetsbaarheden vinden én uitbuiten.

De race tegen de klok

Het is precies de reden waarom Anthropic het krachtige Mythos-model vooralsnog achter slot en grendel houdt en alleen deelt met geselecteerde partners en overheden. "Op dit moment heeft geen enkel AI-bedrijf sterke genoeg veiligheidsbarrières om te voorkomen dat dergelijke modellen worden misbruikt voor grootschalige schade", waarschuwt de organisatie.

Om de balans in het voordeel van de verdedigers te beslechten, deelt het project nu defensieve AI-tools met geselecteerde enterprise-klanten en wordt er samengewerkt met de Open Source Security Foundation om beheerders te ondersteunen bij het verwerken van de bug-tsunami. Systeembouwers en netwerkbeheerders wereldwijd worden met klem opgeroepen om hun update-cycli drastisch te verkorten en netwerkinrichtingen preventief te harden.

De belofte van een digitaal ecosysteem waarin software nagenoeg waterdicht is en hacking een zeldzaamheid wordt, is dankzij AI dichterbij dan ooit. Maar de weg daarnaartoe dwingt de techwereld tot een ongekende logistieke inhaalslag. De AI is er klaar voor; nu de mens nog.