Als de berichten accuraat zijn, markeert het AI-systeem van Anthropic, Claude Mythos, het begin van iets ongemakkelijkers dan een technische doorbraak. Het suggereert dat we een fase ingaan waarin ons vermogen om software te ontwikkelen sneller groeit dan ons vermogen om die software te begrijpen en te beveiligen.
Volgens berichtgeving heeft Anthropic het model gericht op veel gebruikte open-source software zoals besturingssystemen en browsers, en het daar laten zoeken naar kwetsbaarheden. Het zou ‘duizenden’ kwetsbaarheden hebben gevonden, inclusief zero-days: kwetsbaarheden die nog niet eerder bekend waren.
Sommige van de ontdekkingen zijn opvallend. In een voorbeeld, waar uitgebreid over is gesproken, vond Mythos een kwetsbaarheid in OpenBSD, een besturingssysteem dat bekendstaat om zijn veiligheid, die daar al 27 jaar aanwezig was. Daarnaast vond Mythos nieuwe kwetsbaarheden in Linux-systemen en kreeg het zelfs voor elkaar meerdere kwetsbaarheden ‘aan elkaar te plakken’ om daadwerkelijk bruikbare exploits te ontwikkelen.
Al tientallen jaren is cybersecurity afhankelijk van een flinke beperking: het vinden van serieuze kwetsbaarheden is moeilijk, gaat langzaam en vereist expertise. Mythos haalt die beperkingen weg en daarmee verdwijnt ook één van de natuurlijke barrières die systemen in de praktijk redelijk stabiel en veilig hielden.
De gevaarlijke symmetrie
Cybersecurity heeft altijd een ongemakkelijke symmetrie gehad:
dezelfde kennis die verdediging mogelijk maakt, maakt ook aanvallen mogelijk. Een systeem dat kwetsbaarheden herkent, kan ze net zo gemakkelijk misbruiken.
Daarom heeft Anthropic Mythos niet algemeen beschikbaar gemaakt, maar gekozen om beperkt toegang te verlenen via een initiatief dat Project Glasswing heet. Alleen grote techbedrijven en geselecteerde cybersecurity-organisaties krijgen toegang. Ook worden open-source groepen ondersteund om hen te helpen kwetsbaarheden te vinden en te repareren. Dat klinkt goed, maar de realiteit is minder geruststellend: er is geen reden te geloven dat toegang tot Mythos beperkt zal blijven.
Sneller ontdekken, langzamer repareren
Om de risico’s van Mythos te begrijpen, is het goed te weten hoe software in de praktijk wordt gerepareerd. Kwetsbaarheden worden zelden direct verholpen zodra ze bekend zijn bij de softwareontwikkelaar. Bovendien moeten oplossingen eerst goed getest worden. In complexe IT-omgevingen van banken, ziekenhuizen en kritieke infrastructuren kan het toepassen van een patch bovendien enorm risicovol zijn.
Dat betekent niet alleen dat Mythos veel meer kwetsbaarheden kan vinden, maar vooral dat ze sneller worden gevonden dan dat we ze kunnen repareren. Die onbalans doet er toe. Een achterstand in bekende maar nog niet gepatchte kwetsbaarheden is niet enkel een technisch probleem, maar het aanvalsoppervlak wordt ineens veel groter. Waar het op neerkomt, is dat we met Mythos het ontdekken van kwetsbaarheden opschalen, terwijl we ze niet snel genoeg kunnen repareren.
De wapenwedloop is al begonnen
AI-gedreven hacking tools bestaan al langer. Sommige kunnen weinig, andere zijn verrassend capabel. Er zijn systemen die softwarecode kunnen scannen, kwetsbaarheden kunnen identificeren en zelfs werkende exploits kunnen ontwikkelen, met minimale menselijke interventie. Deze tools zijn volgens de berichtgeving nog niet zo krachtig als Mythos, maar ze worden continu verbeterd en vaak ingezet zonder veiligheidsbeperkingen.
Zero-day kwetsbaarheden hebben een enorme waarde. Ze worden voor veel geld verhandeld op duistere marktplaatsen en worden ingezet in cyberoorlogsvoering. Een tool die zero-days op grote schaal kan genereren, is een effectieve machine voor het produceren van digitale wapens. In die context is Mythos wellicht een een voorbode van wat ons te wachten staat. Mogelijk is het zelfs niet eens het meest geavanceerde systeem dat op dit moment bestaat.
Een fragiele basis
Moderne software is omvangrijk, onderling verbonden en daardoor vaak erg complex en kwetsbaar. Het is gebouwd op code die soms tientallen jaren oud is en geschreven is in programmeertalen die flexibiliteit boven veiligheid plaatsen. Bovendien zijn veel kwetsbaarheden niet terug te voeren op duidelijke fouten, maar op kleine soms onzichtbare interacties tussen verschillende componenten. Dit wordt wel beschreven als ‘the space between the code’: de ruimte tussen de code. Het gaat om wat niet letterlijk in de code staat, maar wel bepaalt hoe software zich in de echte wereld gedraagt.
Nog zorgwekkender is dat grote delen van de digitale wereld afhankelijk zijn van dezelfde onderliggende systemen. Dit is wat experts een systemisch risico noemen: één enkele kwetsbaarheid die op miljoenen systemen aanwezig is, kan een desastreuze kettingreactie veroorzaken (bijvoorbeeld de SalesForce hack van 2025).
De paradox van vooruitgang
Dezelfde technologieën die de ontdekking van kwetsbaarheden versnellen, kunnen in principe ook de reparatie versnellen. AI-systemen zijn mogelijk in staat niet enkel kwetsbaarheden snel te ontdekken en te misbruiken, maar ook patches te genereren en te testen. Zelfs het opnieuw ontwerpen van software om complete categorieën van kwetsbaarheden uit te sluiten is dan wellicht mogelijk.
Er is ook nog een subtielere verandering aanstaande. Als AI het ontwikkelen van software veel makkelijker maakt, kunnen we de wereld van gedeelde en gestandaardiseerde applicaties verlaten en overstappen op individueel op maat gemaakte tools. Dat zou de impact van een enkele kwetsbaarheid aanzienlijk kunnen verminderen, zelfs als het totaal aantal bugs sterk toeneemt.
Het onzichtbare wordt zichtbaar
Jarenlang hebben kwetsbaarheden zich ongemerkt opgestapeld. Grote inbreuken en datalekken halen de krantenkoppen, maar de onderliggende structurele problemen bleven grotendeels onzichtbaar. Systemen zoals Mythos halen ook die problemen boven water. Ze maken het onmogelijk om te doen alsof onze systemen veilig zijn, of dat kwetsbaarheden zeldzaam zijn. In plaats daarvan leggen ze een ongemakkelijke waarheid bloot: tekortkomingen zijn er in overvloed, hardnekkig en diep verankerd in de systemen waar wij afhankelijk van zijn.
Nog belangrijker is dat ze wijzen op een nog een dieper liggende kwestie: we komen terecht in een wereld waarin geen mens en geen bedrijf of institutie de systemen die we bouwen nog volledig kan begrijpen en beveiligen. Dat hoeft niet te leiden tot een instorting van die wereld, maar het markeert wel een transitie: van een wereld die we managen naar een wereld waarin we voornamelijk reageren.
Als deze verandering zich doorzet, is de vraag niet langer of we krachtigere systemen kunnen bouwen, want dat zal zeker het geval zijn. Het gaat om hoe we verder moeten leven met de systemen die we al hebben.
Dit is een ingezonden bijdrage van Fox-IT. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.