AI kan aanvallen versnellen en het is dan ook belangrijk dat organisaties hun reactietijden verkorten en patchprocessen versnellen, zo stelt het Nationaal Cyber Security Centrum (NCSC). Het Amerikaanse AI-bedrijf Anthropic kondigde onlangs het AI model Mythos aan, een model voor kwetsbaarheidsopsporing en chaining. Volgens het NCSC kan Mythos kwetsbaarheden sneller opsporen en koppelen tot volledige exploits en aanvalsketens.

"Dit kan de verdediging versterken, maar kan ook digitale aanvallen versnellen. De boodschap van het NCSC is simpel: Wacht niet af. Verkort je reactietijden, versnel patchprocessen, en zorg dat basisbeveiliging op orde is", aldus de overheidsinstantie. De huidige, beperkte toegang tot een selecte groep grote techbedrijven onderstreept de gevoeligheid en het potentieel van deze technologie.

Het NCSC merkt op dat Mythos niet alleen losse kwetsbaarheden kan vinden, maar ze in samenhang benutten om complete aanvalsketens te construeren. "Dat vergroot het risico dat kleine, op zichzelf onschuldige bugs in combinatie een serieuze aanval mogelijk maken. Tegelijk ontbreken publieke technische details om de volledige impact te verifiëren; het is aannemelijk dat echte kwetsbaarheden worden geraakt, maar minder duidelijk hoe eenvoudig ze in de praktijk misbruikt kunnen worden", laat de overheidsinstantie verder weten.

Volgens het NCSC is het aannemelijk dat vergelijkbare capaciteiten bij andere AI-modellen snel breder beschikbaar komen. "De versnelling die we hier zien, blijft niet beperkt tot een paar partijen." Het NCSC adviseert organisaties om AI-ontwikkelingen expliciet op te nemen in hun beveiligingsmaatregelen, met name patchmanagement. "Zero-days kun je niet voorkomen, maar de "time-to-patch" moet omlaag; uitstel van dagen of weken past niet meer bij het huidige dreigingslandschap."