Nieuws
image

Anthropic: AI-modellen kunnen nu zelf kritieke kwetsbaarheden vinden

dinsdag 14 april 2026, 10:29 door Redactie, 11 reacties

AI-modellen kunnen nu zelf kritieke kwetsbaarheden in complexe software vinden, zo stelt AI-bedrijf Anthropic. Het bedrijf claimt dat het een nieuw AI-model heeft ontwikkeld genaamd Claude Mythos Preview dat in staat is om zelf kwetsbaarheden te vinden en misbruiken. Het model is echter niet beschikbaar voor het publiek. Anthropic heeft het model wel met verschillende partijen gedeeld, waaronder Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks.

Deze partijen kunnen het model gebruiken om hun eigen software te controleren. Anthropic zegt dat het model duizenden kwetsbaarheden heeft gevonden, waaronder in alle grote besturingssystemen en browsers. Het gaat onder andere om een kwetsbaarheid in OpenBSD die al 27 jaar aanwezig is. Het model is ook in staat om exploits te ontwikkelen. Zo is het model in staat om een kwetsbaarheid in de Linux-kernel te vinden en misbruiken, waardoor een aanvaller zijn rechten kan verhogen en root kan worden.

Anthropic zegt dat het model niet specifiek is getraind om kwetsbaarheden te vinden en misbruiken. "Dit is het gevolg van algemene verbeteringen in code, redeneren en autonomie. De zelfde verbeteringen die het model veel effectiever maken in het patchen van kwetsbaarheden, maken het ook veel effectiever in het misbruiken ervan."

Het AI-bedrijf stelt dat het model niet voor het publiek beschikbaar zal worden gemaakt. Wel is het van plan om in de toekomst AI-modellen zoals Mythos Preview aan gebruikers aan te bieden. "Om dit te doen moeten we ook vooruitgang boeken in het ontwikkelen van cybersecurity (en andere) beveiligingsmaatregelen die gevaarlijke outputs van het model detecteren en blokkeren."

Reacties (11)
Reageer met quote
Vandaag, 10:36 door Anoniem
Tot Anthropic slachtoffer wordt, dan ligt alles overal, open en op straat.
Reageer met quote
Vandaag, 10:50 door Anoniem
Heel goed! Dit versterkt het algehele cybersecurity model voor veel software en diensten. Naast dat mensen het zelf testen is er nu een helpende hand die dit mogelijk sneller en effectiever kan doen.
Hoe meer lekken er ontdekt worden, hoe beter de beveiliging wordt na het patchen.
Reageer met quote
Vandaag, 10:59 door Anoniem
Claude Mythos vind momenteel kwetsbaarheden in allerlei software... Het model verraste een onderzoeker zelfs door uit zijn eigen testomgeving te breken en hem een mail te sturen terwijl hij in een park zat een broodje te eten...

Open-source modellen zullen met een half jaar dezelfde capaciteiten hebben... Het gaat nog druk worden met de nieuwsberichten hier.
Reageer met quote
Vandaag, 11:00 door AX0
Klinkt erg ambitieus. Maar waarom zulke terughoudendheid en dan bekendmaken het te hebben gedeeld met genoemde namen?

Als je een dergelijke tooling zou hebben ontwikkeld en een grote commerciele slag zou slaan, maak je juist dit soort statements niet, juist om cybercriminelen buiten de deur te houden. Nu kun je er vanuit gaan dat er toch wat 'geinteresseerde professionals' op zoek zullen gaan naar...
Reageer met quote
Vandaag, 11:43 door Anoniem
Zolang overheden dit zich niet toe-eigenen en het publiek zonder laat, anders krijgen zij de overhand in het exploiteren van onschuldige burgers.
Deze, en soortgelijke tools moet beschikbaar blijven voor ieder zodat het digitale slagveld gelijk en gerechtvaardigd blijft.

Immers is de verhouding tegenwoordig al aardig zoek nu geheime diensten zoals de Nederlandse AIVD (sleepwet) en NSA (third-party doctrine/FISA) zonder gerechterlijk bevel je spullen mag doorzoeken mits dit voldoet aan de praktijk van derde partijen. (Google/Alphabeth, Apple, Micosoft, maar ook kleinere techbedrijven)
Reageer met quote
Vandaag, 12:08 door Anoniem
Door Anoniem: Tot Anthropic slachtoffer wordt, dan ligt alles overal, open en op straat.
Ik weet niet of 31 mrt een 1 april grap is. https://nodesource.com/blog/anthropic-claude-code-source-leak-bun-bug
Reageer met quote
Vandaag, 12:23 door Anoniem
Door AX0: Klinkt erg ambitieus. Maar waarom zulke terughoudendheid en dan bekendmaken het te hebben gedeeld met genoemde namen?
Ze zijn terughoudend in informatie die tot grote schade zou kunnen leiden, want ze vinden tijdelijk lekken sneller dan de diverse leveranciers ze op kunnen lossen. Ze zouden daar zelf ook schade van ondervinden, want ze gebruiken zelf de besturingssystemen waarin ze lekken hebben gevonden ook.

Ze zijn niet terughoudend in wat publiciteit oplevert, en daar zit uiteindelijk vast wel een verdienmodel aan vast.

Als je een dergelijke tooling zou hebben ontwikkeld en een grote commerciele slag zou slaan, maak je juist dit soort statements niet, juist om cybercriminelen buiten de deur te houden. Nu kun je er vanuit gaan dat er toch wat 'geinteresseerde professionals' op zoek zullen gaan naar...
Die "geïnteresseerde professionals" zijn hoe dan ook al op zoek naar lekken om te exploiteren. Een grote commerciële slag maak je niet als je geheim houdt dat je wat te verkopen hebt.
Reageer met quote
Vandaag, 15:00 door Anoniem
AI is zelf een kritieke kwetsbaarheid.
Reageer met quote
Vandaag, 16:39 door Anoniem
source: trust me bro
Reageer met quote
Vandaag, 16:55 door Anoniem
AI vervangt de beveiligingsonderzoekers en krijgt dus
nu een virtueel geld bedrag.
Reageer met quote
Vandaag, 16:59 door Anoniem
Elke major revolutionaire technologie geeft eerst meer problemen dan het goed doet. Sommigen stabiliseren daarna snel, sommigen niet.
Niet alleen bij hoe we technologie nu kennen is dit het geval. Kijk naar de industriële revolutie, ook niet echt prettig voor de gemiddelde burger in die tijd. Lekker onder een stoffige machine de vloer vegen...

Elke technologie is een double edge sword. Kan zowel goed als slecht gebruikt worden. Zo wordt het beide ook gebruikt.

Maar bij (digitale) beveiliging (in theorie) hoeven de attackers maar 1 kwetsbaarheid te vinden om binnen te komen, de "weakest link in the chain".
De defenders moeten alle kwetsbaarheden vinden en fixen om 100% zeker te weten dat de attackers niet inbreken. (Dit is natuurlijk ook in theorie. In praktijk (bijna) nergens mogelijk.)

En dan hebben we het alleen nog over de technische implementatie. 2 random voorbeelden: phishing, side channel attacks (bv. die ontstaan door een fout in architectuur ipv implementatie).

De komende tijd wordt het dus ff wat makkelijker voor cybercriminelen en andere threat actors. En het duurt vast niet lang meer voordat er een open source model komt die dit ook kan.

Hopen op het beste, het is al spannend genoeg in de wereld.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components