AI helpt organisaties vooruit. Processen gaan sneller, repetitief werk wordt uit handen genomen en het kan kosten besparen. Steeds meer bedrijven werken met tools als Microsoft Copilot, ChatGPT en Claude. Maar waar technologie vooruitgaat, ontstaan ook nieuwe vormen van misbruik — en de cijfers liegen er niet om.
En de snelheid waarmee dat misbruik escaleert is alarmerend. Een jaar geleden konden AI-modellen geen niet-triviale kwetsbaarheden identificeren. Zes maanden later konden ze eenvoudige lekken exploiteren. Vandaag ontdekken ze autonoom zero-days in productiesoftware — volledig zonder menselijke sturing. Dit is geen tijdelijke piek. Dit is een nieuwe baseline.
De trend is het signaal — sneller dan u denkt
De specifieke claims van Anthropic over Mythos zijn nog niet onafhankelijk geverifieerd — geen externe onderzoeker heeft het model getest. Maar de onderliggende trend is ondubbelzinnig, ook zonder Mythos:
| Periode | Stand van zaken |
|---|---|
| Een jaar geleden | AI-modellen konden geen niet-triviale kwetsbaarheden identificeren. |
| Zes maanden geleden | Modellen konden eenvoudige, bekende kwetsbaarheden exploiteren. |
| Nu | Autonome zero-day ontdekking in productiesoftware, volledige exploit chains, netwerkinbraak zonder menselijke sturing. |
De conclusie van meerdere securityexperts is eensluidend: dit breekt cybersecurity niet in één klap, maar het zet jarenlange aannames tegelijk onder druk. Snelheid, schaal en het benodigde kennisniveau verschuiven in het voordeel van de aanvaller. Wie daar nu niet op inspeelt, loopt achter de feiten aan.
Anthropic neemt uitzonderlijk besluit over nieuw AI-model
Een goed voorbeeld van hoe serieus die risico’s zijn, komt van Anthropic zelf. Zij hebben besloten hun nieuwste model, Claude Mythos Preview, niet openbaar te maken, omdat het model uitzonderlijk effectief is in het opsporen én misbruiken van beveiligingslekken. In tests wist het systeem in 83,1% van de gevallen volledig zelfstandig een werkende aanval te bouwen, zonder menselijke hulp.
Claude Mythos Preview
Niet publiek vrijgegeven — alleen beschikbaar voor geselecteerde partners via Project Glasswing.
Wat maakt Mythos zo alarmerend?
- Vindt tienduizenden kwetsbaarheden die zelfs elite-onderzoekers missen
- In 83,1% van gevallen direct werkende exploits gebouwd
- Kwetsbaarheden in elk groot OS en elke browser
- 27 jaar oud lek in OpenBSD en 17 jaar oud lek in FreeBSD gevonden
- Wist zelfstandig uit een beveiligde sandbox te ontsnappen
Project Glasswing: verdedigen met hetzelfde wapen
In plaats van een publieke release lanceerde Anthropic Project Glasswing — een initiatief waarbij ruim 50 grote technologiebedrijven, waaronder Microsoft, Apple, Google, Cisco en NVIDIA, toegang krijgen tot Mythos Preview via meer dan 100 miljoen dollar aan gebruikscredits. Het doel: dezelfde technologie die aanvallers zouden gebruiken, inzetten om de meest kritieke software ter wereld te beveiligen.
Voor het MKB is dit een dubbelzijdig signaal: de grote spelers bouwen nu actief AI-verdediging op, terwijl de kloof met kleinere bedrijven groeit. Wie niet proactief handelt, wordt een aantrekkelijker doelwit.
Van de jaren 80 tot nu: AI blaast oude hacktechnieken nieuw leven in
Er speelt iets dat weinig aandacht krijgt: AI brengt aanvalstechnieken terug uit de begindagen van het internet. Methodes die bijna uitgestorven leken, worden nu geautomatiseerd en opgeschaald — zonder dat de aanvaller ook maar enige technische kennis hoeft te bezitten.
| Jaar | Techniek (toen) | AI-versie (nu) |
|---|---|---|
| 1983 | War Dialing (WarGames) Automatisch telefoonnummers bellen op zoek naar modems en computersystemen. |
AI scant miljarden IP-adressen in minuten op kwetsbare poorten — miljoen keer sneller. |
| 1988 | Buffer Overflow (Morris Worm) Geheugen overschrijven om kwaadaardige code te injecteren. De eerste grote internetworm gebruikte dit al. |
Mythos vond autonoom een 17 jaar oud buffer overflow in FreeBSD’s NFS-server dat volledige root-toegang gaf aan iedereen op internet. |
| 1998 | SQL-injectie Kwaadaardige databaseopdrachten invoeren via webformulieren om data te stelen. |
Claude vond in 90 minuten autonoom een blind SQL-injectielek in Ghost CMS en stal de beheerder-API-sleutel — zonder menselijke tussenkomst. |
| 1990s | Social Engineering Mensen misleiden om toegang te verlenen (Kevin Mitnick, ‘The Art of Deception’). |
AI-gegenereerde deepfake-audio en foutloze phishingmails maken dit massaal schaalbaar. 703% meer aanvallen in 2025. |
Drie concrete gevaren voor uw bedrijf
De perfecte phishingmail
Een medewerker ontvangt een e-mail die precies klinkt als de huisaccountant — foutloos Nederlands, de juiste toon, een urgent betaalverzoek. Soms wordt zelfs een deepfake-audiobericht meegestuurd met de stem van de directeur. Social engineering is de oudste hacktechniek; AI maakt het nu massaal schaalbaar. Aanvallen met gestolen inloggegevens stegen 703% in 2025.
De verouderde plugin als ingang
Een boekhoudkantoor draait al jaren dezelfde WordPress-omgeving. Ergens in een verouderde plugin zit een kwetsbaarheid die al vijftien jaar bestaat maar nooit gevonden werd — tot nu. AI-scanners doorzoeken het volledige internet systematisch op dit soort lekken, zoals Mythos deed met het 27 jaar oude lek in OpenBSD en het 17 jaar oude lek in FreeBSD.
De supply chain als achterdeur
Aanvallers compromitteren niet uw eigen systemen, maar die van uw IT-leverancier of softwarepartner. Via die weg krijgen ze toegang tot uw netwerk. Met AI worden ook de systemen van leveranciers automatisch gescand op kwetsbaarheden. Meer dan een derde van alle securityteams zag zo’n aanval in 2025.
Wat kunt u nu doen?
Verifieer betaalverzoeken altijd
Voer het vier-ogenprincipe in voor financiële transacties. Ontvangt u een spoed-e-mail met een betaalverzoek? Bel altijd terug via een bekend nummer voordat u handelt.
Patch binnen 72 uur
Als een kritiek lek niet binnen 72 uur gepatcht kan worden, heeft uw organisatie het risico niet betekenisvol verlaagd. Zet automatische updates aan voor alle systemen.
Werk samen met uw MSP aan beveiliging
Beveiliging is een gezamenlijke verantwoordelijkheid. Wij helpen u met het inzichtelijk maken van uw risico’s, het bewaken van uw systemen en het snel handelen bij incidenten.
Maak dagelijks back-ups
Test regelmatig of u ze daadwerkelijk terug kunt zetten. Sla back-ups offline op — ransomware kan daar niet bij.
Train uw medewerkers
Meer dan de helft van de organisaties is ooit getroffen door phishing. Regelmatige bewustwordingstraining over AI-phishing is een van de meest effectieve maatregelen.
Maak AI-gebruik bespreekbaar
Stel duidelijk beleid op over welke AI-tools medewerkers mogen gebruiken en welke bedrijfsinformatie daar niet in thuishoort.
AI verandert het dreigingslandschap — bent u voorbereid?
Het goede nieuws: Anthropic en partners als Microsoft en Apple zetten Mythos Preview juist in om kwetsbaarheden te dichten voordat aanvallers ze kunnen misbruiken. 84% van de Nederlandse MKB-bedrijven plant meer AI-investeringen in de komende drie jaar. Wie proactief handelt, profiteert van verbeterde software én een sterkere verdedigingspositie.
De Cyberbeveiligingswet (NIS2) wordt verwacht in het tweede kwartaal van 2026. Met AI die de drempel voor cybercriminaliteit drastisch verlaagt en decennia-oude aanvalstechnieken nieuw leven inblaast, is het verstandig om niet te wachten tot de wet dat afdwingt.
DSE IT-Services volgt de ontwikkelingen op het gebied van AI en cybersecurity op de voet. Onze adviseurs helpen u grip te houden op de risico’s en uw organisatie veilig digitaal te laten ondernemen.
Neem contact op via 0251-278990 of om een gesprek in te plannen.
