Anthropic deelt Claude Mythos met kritieke infrastructuur
3 mins read

Anthropic deelt Claude Mythos met kritieke infrastructuur

Anthropic geeft 150 extra organisaties toegang tot Claude Mythos, het nog niet publiek beschikbare model dat zelfstandig zwakke plekken in software opspoort. De uitbreiding van Project Glasswing, op 2 juni aangekondigd, richt zich nadrukkelijk op beheerders van kritieke infrastructuur in meer dan vijftien landen. Nederland zit daarbij.

Wat Project Glasswing doet

Project Glasswing begon in april als een besloten groep van ongeveer vijftig partners. Die eerste lichting gebruikte Claude Mythos om kwetsbaarheden in eigen code te vinden, en volgens Anthropic leverde dat ruim tienduizend lekken met een hoge of kritieke ernst op. Mythos is geen losse scanner maar een frontier-model dat zelf zoekt, redeneert en patches voorstelt. Anthropic zegt dat het model kan doorwerken tot het binnen enkele weken duizenden zogeheten zero-days boven tafel haalt.

De deelnemers zetten het model breder in dan alleen detectie. TechCrunch en Cybersecurity Dive beschrijven gebruik voor het schrijven van patches, het keuren van software voor de release, penetratietests en het vertalen van oude code naar geheugenveilige talen. Dat laatste raakt een hardnekkig probleem: een groot deel van de ernstige beveiligingsfouten komt voort uit talen die geheugen niet automatisch afschermen.

Nederland en Europa in de groep

De nieuwe lichting strekt zich uit over landen als Nederland, Duitsland, Frankrijk, Italie, Spanje, Belgie, Zweden, Zwitserland, Japan en Zuid-Korea. Bij naam genoemd worden onder meer Okta, de Zuid-Koreaanse bedrijven Samsung, SK Hynix en SK Telecom, defensiebondgenootschap NATO en het Europese cyberagentschap ENISA. De sectoren lopen uiteen van stroom en water tot zorg, telecom en hardware.

Anthropic schat dat een geslaagde aanval bij de meeste partners meer dan honderd miljoen mensen kan raken. “Wat elke partner gemeen heeft, is dat een geslaagde aanval op hun codebase catastrofaal kan zijn”, aldus het bedrijf in zijn aankondiging. Die inzet sluit aan op de Europese discussie over toezicht en aansprakelijkheid rond AI, een thema dat ook speelt bij de handhaving van de EU AI Act.

Het risico van een publieke release

De kern van het ongemak zit in de dubbele werking. Een model dat fouten in browsers en besturingssystemen vindt voordat aanvallers dat doen, vindt diezelfde fouten net zo goed voor wie kwaad wil. Anthropic wil Mythos de komende weken breder beschikbaar maken, maar zegt eerst stevige waarborgen tegen misbruik in te bouwen. Het bedrijf erkent zelf dat uiteindelijk honderdduizenden organisaties, onderzoekers en beheerders toegang nodig hebben om bij te blijven.

Die spanning is bekend bij Anthropic. Het bedrijf bracht eerder dit jaar al Claude Fable 5 uit met sterke codeerprestaties, en kreeg te maken met een Amerikaanse exportban die ook Europa raakt. Beveiligingscapaciteit en geopolitiek lopen door elkaar heen, net als bij de race om codeermodellen die ook Microsoft met MAI-Code-1-Flash voert.

Wat betekent dit

Voor beheerders van kritieke systemen in Nederland verschuift de vraag van of AI in de verdediging past naar hoe je het verantwoord inzet. Een model dat sneller lekken vindt dan menselijke teams verandert de balans, mits de toegang beheerst blijft. De komende publieke release wordt daarvoor de echte test: lukt het Anthropic om de defensieve waarde te behouden zonder een gereedschapskist voor aanvallers uit te delen? Tot die tijd blijft Glasswing een afgeschermd experiment met hoge inzet, en een voorproefje van hoe beveiligingswerk er met capabele modellen uit gaat zien.