Anthropic plant publieke release van Mythos klasse AI bugzoeker zodra beveiligingsmaatregelen klaar zijn

Anthropic plant publieke release van Mythos klasse AI bugzoeker zodra beveiligingsmaatregelen klaar zijn

Anthropic heeft aangekondigd dat het van plan is Mythos klasse AI modellen beschikbaar te maken voor het grote publiek zodra er voldoende beveiligingsmaatregelen zijn ontwikkeld. Momenteel zijn deze modellen alleen toegankelijk voor een selecte groep partners. De aankondiging maakte deel uit van een eerste update over Project Glasswing, het programma van Anthropic dat beperkte toegang tot Mythos biedt.

Het bedrijf erkende dat geen enkele organisatie, inclusief Anthropic zelf, momenteel beveiligingsmaatregelen heeft ontwikkeld die sterk genoeg zijn om misbruik of mogelijke schade door dergelijke modellen volledig te voorkomen. Het gaf niet aan wat het bedoelt met “de nabije toekomst” voor een publieke release.

Daarnaast wil Anthropic Project Glasswing uitbreiden met meer partners, waaronder de Amerikaanse overheid en bondgenoten, voordat de modellen breed beschikbaar worden gemaakt.

Wat het Mythos model van Anthropic is en wat het tot nu toe heeft gevonden

Mythos is een AI model van Anthropic dat bekendstaat om zijn vermogen om beveiligingslekken in softwarecode op te sporen. Het werd begin april voor het eerst geïntroduceerd. In plaats van een publieke release beperkte Anthropic de toegang tot geselecteerde organisaties via Project Glasswing, uit bezorgdheid dat cybercriminelen onbeperkte toegang zouden kunnen gebruiken om snel kwetsbaarheden te vinden en uit te buiten voordat deze konden worden opgelost.

Deelnemers aan Project Glasswing melden dat Mythos effectief is in het opsporen van veel kwetsbaarheden, al is het aantal meldingen soms groter dan hun capaciteit om alle problemen tijdig te patchen.

Anthropic meldt dat Mythos meer dan 1.000 open-sourceprojecten heeft gescand die een groot deel van het internet en Anthropic’s eigen infrastructuur ondersteunen. Tot nu toe zijn daarbij in totaal 23.019 kwetsbaarheden geïdentificeerd, waarvan naar schatting 6.202 een hoge of kritieke ernst hebben.

Van de 1.752 hoge of kritieke kwetsbaarheden die door Anthropic zijn geverifieerd, bleek 90,6% (1.587) daadwerkelijk geldig te zijn. Daarvan werd 62,4% (1.094) bevestigd als een kwetsbaarheid met hoge of kritieke ernst.

Een kritieke kwetsbaarheid die door Mythos werd ontdekt, trof de cryptografiebibliotheek wolfSSL, die wordt gebruikt door miljarden apparaten. Volgens Anthropic kon Mythos een exploit construeren waarmee aanvallers certificaten konden vervalsen en zich mogelijk konden voordoen als banken of e-mailproviders.

De kwetsbaarheid is inmiddels gepatcht en Anthropic is van plan de komende weken een gedetailleerde technische analyse te publiceren. De kwetsbaarheid wordt bijgehouden onder CVE-2026-5194.

Uitdagingen rond openbaarmaking en patching door de stroom aan kwetsbaarheden van Mythos

Anthropic verifieert elke kwetsbaarheid samen met de beveiligingsgemeenschap voordat deze aan beheerders van projecten wordt gemeld. Daarna schrijft het bedrijf gedetailleerde rapporten voor de getroffen projecten. Van de 530 gemelde hoge of kritieke kwetsbaarheden zijn er tot nu toe 75 gepatcht en hebben 65 een publieke beveiligingswaarschuwing gekregen.

Het bedrijf verklaart het lage aantal fixes doordat veel meldingen zich nog binnen de standaardperiode van 90 dagen voor Coordinated Vulnerability Disclosure bevinden. Daarnaast merkt Anthropic op dat patches zonder publieke aankondiging waarschijnlijk ondergerapporteerd zijn.

De grote hoeveelheid bevindingen van Mythos zet extra druk op maintainers, die nu al overspoeld worden door een grote hoeveelheid laagwaardige bugrapporten die door AI worden gegenereerd. Sommige maintainers hebben Anthropic gevraagd het tempo van openbaarmakingen te verlagen zodat zij meer tijd hebben om patches te ontwikkelen.

Waarom dit belangrijk is voor gewone gebruikers en verdedigers

Zelfs vóór een publieke release van Mythos klasse modellen is de bredere implicatie duidelijk: minder geavanceerde AI modellen zijn nu al in staat softwarekwetsbaarheden te vinden. Verdedigers moeten er rekening mee houden dat aanvallers vaker en sneller kwetsbaarheden zullen bewapenen, ook voordat patches beschikbaar zijn.

Verschillende overheden hebben al gereageerd op het bestaan van Mythos. Japan heeft een grootschalige veiligheidscontrole bevolen en Indiase autoriteiten hebben financiële instellingen opgedragen versneld patches uit te voeren.

Anthropic suggereert dat overbelaste beveiligingsteams AI tools gebruiken, waaronder het eigen Claude model met ontwikkelaarsgerichte functies, om de ontwikkeling van patches te versnellen.

Een tijdlijn voor de publieke release van Mythos klasse modellen is nog niet bekendgemaakt.