Five Eyes waarschuwt voor AI-cyberaanvallen
2 mins read

Five Eyes waarschuwt voor AI-cyberaanvallen

De vijf landen achter de inlichtingenalliantie Five Eyes hebben op maandag 23 juni een zeldzame gezamenlijke verklaring uitgebracht. De boodschap: AI-modellen die in staat zijn tot grootschalige cyberaanvallen liggen niet jaren, maar maanden voor ons. Dat de Verenigde Staten, het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland samen naar buiten treden, gebeurt zelden en zegt iets over de urgentie die de diensten voelen, schrijft Al Jazeera.

De timeline is geen jaren maar maanden

In de verklaring stellen de diensten dat geavanceerde AI-modellen de verwachtingen van de industrie gaan overtreffen en zowel de aanvallende als de verdedigende kant van cybersecurity ingrijpend veranderen. “De timeline is geen jaren, het zijn maanden”, luidt de kernzin die door CBS News wordt aangehaald. De agentschappen noemen concreet modellen als Mythos van Anthropic en GPT-5.5-Cyber van OpenAI, die het tempo en de complexiteit van hacks fors kunnen opvoeren. De diensten benadrukken dat AI op termijn ook de verdediging sterker maakt, maar dat het de aanvalskant op de korte termijn harder vooruithelpt.

Dat sluit aan op wat we eerder zagen rond de uitbreiding van OpenAI’s Daybreak met GPT-5.5-Cyber en bij de bredere wapenwedloop in cybersecurity. De zorg is niet langer theoretisch: dezelfde modellen die verdedigers helpen, helpen ook aanvallers.

Wat overheden en bedrijven nu moeten doen

De Five Eyes-diensten roepen bestuurders op om nu te handelen. Volgens CNN draait het advies om een paar concrete stappen: patch kwetsbaarheden in software snel, koppel systemen niet aan netwerken tenzij het echt nodig is, beperk wie toegang heeft tot kritieke systemen, en zet AI defensief in om zwakke plekken eerder te vinden. De Amerikaanse cyberdienst CISA heeft de termijn voor het dichten van kritieke kwetsbaarheden al teruggebracht naar drie dagen, waar dat eerder ruimer was. Dat geeft een idee van het tempo waarmee de diensten verwachten dat aanvallers nieuwe lekken gaan misbruiken.

Op het gebied van toegang grepen overheden ook in. Anthropic moest de toegang tot Mythos voor buitenlandse gebruikers stopzetten na een Amerikaans bevel dat verwees naar nationale veiligheid. Dat past in een lijn van maatregelen, van het exportverbod op Anthropic-modellen tot het verzoek aan AI-bedrijven om hun topmodellen vooraf te delen met de overheid.

Wat betekent dit

De waarschuwing verschuift het gesprek van ‘wat als’ naar ‘wat nu’. Voor Nederlandse organisaties betekent het dat basishygiëne, zoals snel patchen en toegang beperken, opeens een stuk dringender is geworden. Tegelijk loopt de regulering achter de techniek aan, al krijgt de EU AI Act vanaf augustus meer tanden. Wie wacht tot de eerste grote AI-aanval daadwerkelijk plaatsvindt, is volgens de diensten te laat. De komende maanden bepalen of verdedigers de aanvallers kunnen bijbenen.