image

Anthropic: AI-model Mythos vond al meer dan tienduizend kwetsbaarheden

dinsdag 26 mei 2026, 10:13 door Redactie, 13 reacties
Laatst bijgewerkt: 26-05-2026, 10:20

AI-model Claude Mythos heeft al meer dan tienduizend kwetsbaarheden in allerlei software gevonden, zo stelt ontwikkelaar Anthropic in een blogposting. Een probleem is echter het oplossen van de gevonden beveiligingsproblemen door 'menselijke capaciteit' lang op zich laat wachten, aldus Anthropic. Een aantal weken geleden lanceerde het bedrijf Project Glasswing, waarbij naast Anthropic vijftig andere partijen van AI-model Mythos gebruikmaken voor het vinden van kwetsbaarheden.

Zo wist Cloudflare via Mythos tweeduizend kwetsbaarheden te vinden, waarvan er vierhonderd een impact hebben die als 'high' of 'critical' is bestempeld. Mozilla verhielp in Firefox 271 kwetsbaarheden die via het AI-model waren gevonden. Volgens Anthropic zijn via Project Glasswing inmiddels meer dan tienduizend beveiligingslekken ontdekt.

Anthropic heeft Mythos de afgelopen maanden ook meer dan duizend opensourceprojecten laten controleren. Het AI-model detecteerde 6200 problemen die het zelf als high of critical beveiligingslekken beschouwt. Zo'n 1750 van de gevonden high of critical lekken heeft Anthropic door externe cybersecuritybedrijven laten analyseren. Een kleine 1600 van deze beveiligingslekken bleken inderdaad echt bestaande kwetsbaarheden te zijn. Daarvan werden er 1100 door de externe partijen beoordeeld met een high of critical impact.

"De bottleneck met het verhelpen van dit soort kwetsbaarheden is de menselijke capaciteit om de belangrijkste problemen te bepalen en het rapporteren, ontwikkelen en uitrollen van patches voor ze", aldus Anthropic. Dat voegt toe dat Mythos een al overbelast security-ecosysteem verder onder druk zet. "De relatieve eenvoud van het vinden van kwetsbaarheden vergeleken met de moeilijkheid om ze op te lossen vormt een grote uitdaging voor cybersecurity."

Reacties (13)
26-05-2026, 10:38 door Anoniem
de marketing hebben ze goed onder de knie, eerst zien dan geloven
26-05-2026, 11:51 door Anoniem
Tja, je kunt ook lezen:
AI vind 6200 problemen die het zelf als high of critical beveiligingslekken beschouwt.
Uiteindelijk zijn er 1100 door de externe partijen beoordeeld met een high of critical impact.

Dus 20% is geldig, 80% is dus SLOP!!

Zeer goede marketing idd...

Maar als dat software zo goed is, waarom worden er dan geen patches gemaakt... Dit klinkt heel erg iemand is heel goed in theorie lezen en napraten... maar toepassen... ho maar.... dus nadenken kan nog steeds niet.

En dit wordt natuurlijk steeds minder. Want nu wordt alle code van de afgelopen 30 jaar gescanned. Als dat klaar is, dan zijn er alleen nog maar code changes in code, die veel minder bugs gaat opleveren. Dus dit gaat vanzelf weer over...

TheYOSH
26-05-2026, 12:08 door Anoniem
Door Anoniem: Tja, je kunt ook lezen:
AI vind 6200 problemen die het zelf als high of critical beveiligingslekken beschouwt.
Uiteindelijk zijn er 1100 door de externe partijen beoordeeld met een high of critical impact.

Dus 20% is geldig, 80% is dus SLOP!!

Zeer goede marketing idd...

Maar als dat software zo goed is, waarom worden er dan geen patches gemaakt... Dit klinkt heel erg iemand is heel goed in theorie lezen en napraten... maar toepassen... ho maar.... dus nadenken kan nog steeds niet.

En dit wordt natuurlijk steeds minder. Want nu wordt alle code van de afgelopen 30 jaar gescanned. Als dat klaar is, dan zijn er alleen nog maar code changes in code, die veel minder bugs gaat opleveren. Dus dit gaat vanzelf weer over...

TheYOSH

Je leest niet goed. Van die 6200 problemen hebben ze er 1750 voorgelegd. Daarvan zijn 1100 high of critical impact.
26-05-2026, 12:28 door Anoniem
Ik vind dat AI een grote bubbel. Er gaan miljarden in om onderling, en ik betaal maar 22 euro/maand voor Gemini.
ChatGPT, Grok, Perplexity, Gemini, Copilot, Claude. Allemaal dat bedrag per maand.

Iemand van Rool gehoord? Ook een AI assistent. Kost ook rond de 20 euro/maand.

Ik heb sterk het idee dat het optuigen van een AI model niet al te moeillijk is.
26-05-2026, 12:34 door Anoniem
Door Anoniem:e leest niet goed. Van die 6200 problemen hebben ze er 1750 voorgelegd. Daarvan zijn 1100 high of critical impact.

Volgens mij snap je niet precies wat ik bedoel. Het is relatief weinig, is mijn punt.

TheYOSH
26-05-2026, 13:17 door _R0N_
Door Anoniem:
Door Anoniem:e leest niet goed. Van die 6200 problemen hebben ze er 1750 voorgelegd. Daarvan zijn 1100 high of critical impact.

Volgens mij snap je niet precies wat ik bedoel. Het is relatief weinig, is mijn punt.

TheYOSH

Het is 62% dat als critical wordt bestempeld na controle, de overigen zijn niet critical maar nog wel bugs/lekken etc.

Het zijn dus in totaal 6200 fouten die gevonden zijn die anders misschien niet gevonden waren of als ze gevonden waren misbruikt zouden worden.

Het is dus 100% winst.
26-05-2026, 14:24 door Anoniem
En hoeveel ellende heeft AI al veroorzaakt?
https://www.aileaks.dev
26-05-2026, 15:11 door _R0N_
Door Anoniem: En hoeveel ellende heeft AI al veroorzaakt?
https://www.aileaks.dev

Je bedoelt dat AI met Open Source doet wat juist gezegd werd het sterke punt te zijn van Open Source. Je kunt de source zelf lezen en zelf de fouten vinden.

De ellende zit eigenlijk in het matige werk van de ontwikkelaars die slordige code publiceren.
26-05-2026, 23:20 door Anoniem
Terug naar waar het artikel over gaat: er worden nu zoveel bugs gevonden dat maintainers er onder bezwijken. Een groot gedeelte van deze bugs kunnen ook gevonden worden met de laatste versie's van ChatGPT.
Deze bugs zullen dus ook door anderen gevonden worden . . voordat daar een oplossing voor gereleased is.
Financiele instellingen zijn al bezig met scenario's die dit risico benoemen.
https://fd.nl/financiele-markten/1597886/instituten-waarschuwen-voor-giftige-cocktail-met-financiele-risicos (maak een account aan voor 5 gratis artikelen).
27-05-2026, 16:24 door Anoniem
Door _R0N_:
Door Anoniem: En hoeveel ellende heeft AI al veroorzaakt?
https://www.aileaks.dev

Je bedoelt dat AI met Open Source doet wat juist gezegd werd het sterke punt te zijn van Open Source. Je kunt de source zelf lezen en zelf de fouten vinden.

De ellende zit eigenlijk in het matige werk van de ontwikkelaars die slordige code publiceren.

Daarom noen ik ze ook steevast ontwikkel-AARS.
Maar ik ben dan ook vooringenomen, als beheerder. Over het paard getilde, zelfoverschattende lui, heb ik het altijd al gevonden, die "developers". ;-)
27-05-2026, 19:27 door Anoniem
In 1960 wistmen al hoe programma's correct te bewijzen. Buiten Frankrijk schijnt dit echter gewoonweg genegeerd te worden.
(De software voor bijv. de Parijse metro is correct bewezen - daar gaat dus ook nooit iets softwarematig mis.)
30-05-2026, 19:12 door Anoniem
Zwaar overrated, zo zijn er al onderzoekers die met andere ai modellen al meer hebben opgespoort. Het is gewoon slimme marketing nadat ze door het pentagon op een laag pitje waren gezet. Dezelfde marketing als chatGPT vanaf het begin: we publiceren het model nog niet want het is te goed.. blabla
02-06-2026, 11:56 door Anoniem
Met dit soort modellen is het eigenlijk veiliger om software van een closed source leverancier te gebruiken dan om open source te gebruiken. De broncode voor closed source is in de regel niet beschikbaar dus kan ook door kwaadwillenden niet door een AI model worden gehaald. De closed source leverancier heeft een beperkte termijn om dit te doen en veel te proberen op te lossen.

Eigenlijk zouden organisaties die open source software gebruiken zo snel mogelijk de code door een AI model moeten halen en alle kwetsbaarheden managen, ofwel zelf fixes schrijven of wachten totdat de community fixes heeft geschreven. In de tussentijd moeten deze organisaties er van uit gaan dat de kwetsbaarheden misbruikt kunnen worden en indien nodig tijdelijk mitigeren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.