Anthropic schetst route naar mogelijke publieke release van ‘Mythos’-klasse cyber-AI
Anthropic lijkt stap voor stap toe te werken naar iets dat tot voor kort ondenkbaar was: een (gedeeltelijke) publieke release van een ‘Mythos’-klasse model met sterke cyber-capaciteiten. In een nieuwe update over Project Glasswing beschrijft het bedrijf hoe partners kwetsbaarheden mogen rapporteren en hoe het programma moet leiden tot sneller patchen – en uiteindelijk mogelijk bredere toegang, zodra dat veilig kan. Dat roept een nuchtere maar dringende vraag op: wat verandert er voor securityteams als zulke modellen buiten een gesloten preview terechtkomen?
Wat is er nu nieuw (en wat zegt Anthropic wel/niet)?
In de update Project Glasswing: An initial update (22 mei 2026) schetst Anthropic een eerste balans van het programma: partners gebruiken een restricted model om kwetsbaarheden te vinden en te helpen remediëren, met afspraken over disclosure en veiligheid. Belangrijk detail: het gaat nadrukkelijk niet om ‘AI die automatisch systemen hackt’, maar om een versneller voor onderzoek, hypothesevorming en validatie.
ITPro meldt bovendien dat Anthropic partners nu meer ruimte geeft om bevindingen publiek te delen, in plaats van alles onder strikte geheimhouding te houden. Volgens ITPro is dat een bewuste keuze om het ecosysteem (vendors, open source en defenders) sneller te laten reageren.
Waarom dit relevant is: de tijd tussen ‘bug’ en ‘exploit’ krimpt
Het kernpunt is tempo. Als modellen de ‘zoek- en denkfase’ van vulnerability research verkorten, dan verschuift de bottleneck naar menselijke processen: triage, reproduceerbaarheid, patch-ontwikkeling, change windows en uitrol. Scientific American beschrijft de verdeeldheid in de securitywereld: sommigen vrezen een versnelde wapenwedloop, anderen zien vooral een krachtige nieuwe tool voor defenders – maar iedereen erkent dat de impact afhangt van hoe breed en hoe snel dit soort capaciteiten verspreidt. (Scientific American)
Van lab naar toezicht: waarom de FSB (en dus bestuurders) meekijkt
Dat dit niet alleen een ‘infosec-discussie’ is, blijkt uit de aandacht van toezichthouders. The Guardian berichtte eerder dat Anthropic bevindingen rond Mythos met de Financial Stability Board deelt. De boodschap: als kwetsbaarheden sneller gevonden en uitgebuit kunnen worden, kan dat ook systeemrisico worden (denk: identiteitsdiensten, browsers, cloud, betalingsinfrastructuur).
Praktisch: wat kunnen Nederlandse security- en IT-teams nú al doen?
- Versnel je patch-cyclus voor internet-exposed systemen. Als discovery sneller wordt, moet ‘time-to-fix’ omlaag – vooral voor edge, identity en remote access.
- Organiseer disclosure en logging strakker. Meer publieke rapportage is goed, maar vraagt interne discipline: reproduceerbaar, traceerbaar en met duidelijke owners.
- Behandel AI-tools als high-impact software. Toegangsbeheer, audit trails en least privilege zijn essentieel – zie ook ons stuk over Codex on‑prem en enterprise governance.
- Maak je beleid klaar voor EU-transparantie-eisen. De EU werkt aan uitwerking van transparantieverplichtingen; dat raakt ook hoe je AI in processen inzet. Lees: EU-consultatie over AI Act-transparantie.
Wil je de context rond Mythos nog eens scherp hebben? Zie ons eerdere artikel over Mythos en cyberbevindingen richting de FSB. En voor de ‘agentic’ kant (AI die taken uitvoert in tooling) is ook Cohere’s open-weights Command A+ relevant: meer modellen komen beschikbaar buiten gesloten API’s, wat keuzes rond self-hosting en governance urgenter maakt.
Conclusie – wat betekent dit?
De signalen wijzen niet op een directe “morgen staat Mythos open op internet”, maar wel op een richting: meer transparantie, snellere disclosure en – als safety drempels gehaald worden – mogelijk bredere toegang. Voor defenders is dat hoopvol, omdat dezelfde versnelling die aanvallers kunnen gebruiken ook patching en hardening kan versnellen. Maar organisaties die nu nog leunen op trage change windows en beperkte monitoring krijgen het zwaarder. De winnaars worden teams die hun security-operatie hebben ingericht op snelheid, bewijs (logs) en strak risicobeheer.
