Claude Mythos: wat Anthropics cybermodel betekent, en hoe je het vóór blijft

Anthropic gooit zijn afgeschermde Mythos-cybermodel binnenkort open voor publiek. Wat doet het precies, waarom verdient die kop van 10.000 kwetsbaarheden een kritische blik, en welke verschuiving telt echt voor jouw software?

Anthropic bevestigde op 22 mei dat het zijn afgeschermde "Mythos-class" modellen binnen enkele weken naar alle klanten brengt, en daarmee eindigt een closed beta waar tot nu toe alleen een handvol techgiganten en zo'n 40 organisaties rond kritieke infrastructuur bij konden. Mythos is een AI-model dat zelfstandig kwetsbaarheden vindt en bruikbaar maakt, het is echt een stap in capaciteit, en de marketing eromheen loopt vooruit op wat iemand vandaag onafhankelijk kan controleren. De praktische les voor de rest van ons is simpeler dan de koppen doen vermoeden, en daar kom ik op terug.

TL;DR

  • Claude Mythos (officieel "Mythos Preview") is een Anthropic-model dat security-kwetsbaarheden vindt en exploiteert. Het bestaan lekte in maart via een verkeerd geconfigureerde datastore, nog vóór de officiële aankondiging op 7 april.
  • Het bleef achter een gesloten programma, Project Glasswing, omdat Anthropic zegt dat niemand nog sterke genoeg waarborgen heeft tegen misbruik.
  • Anthropic claimt 10.000+ high/critical kwetsbaarheden in een maand. De publiek traceerbare voetafdruk is ongeveer 40 CVE's, waarvan er maar één aan Glasswing zelf wordt toegeschreven.
  • De showcase voor autonome ontdekking, een FreeBSD-bug, is geloofwaardig betwist als iets dat veel kleinere modellen ook vinden.
  • De AI-gedreven golf aan kwetsbaarheidsmeldingen begon vóór Mythos. De vulnerability-database van NIST stopte in april al met het verrijken van elke CVE.
  • De echte bottleneck is niet het vinden van bugs. Het is het patchen ervan: 75 van de 530 gemelde kritieke bugs gefixt bij de laatste telling. Dát is de verschuiving die voor jou telt.

Wat Mythos echt is, en hoe het naar buiten lekte

Mythos werd publiek zoals zoveel dingen in 2026: per ongeluk. In maart vonden onderzoekers zo'n 3.000 ongepubliceerde Anthropic-bestanden in een publiek doorzoekbare, verkeerd geconfigureerde datastore, inclusief een conceptblog die een nieuwe modeltier (intern "Capybara") omschreef als "veruit het krachtigste AI-model dat we ooit gebouwd hebben" en "op dit moment ver vooruit op elk ander AI-model qua cybercapaciteiten." Anthropic noemde het een configuratiefout en haalde de data offline. Drie weken later publiceerde het het echte verhaal.

De officiële aankondiging is om één reden de moeite waard: er staan namen van security-onderzoekers onder, geen communicatieafdeling. Die framing is bewust, en ze vertelt je dat Anthropic dit als onderzoek gelezen wil hebben, niet als productlancering. De claim in het hart ervan is direct. Mythos kan zero-day-kwetsbaarheden vinden en vervolgens exploiteren "in elk groot besturingssysteem en elke grote webbrowser, wanneer een gebruiker het daartoe opdracht geeft."

De demonstraties achter die zin zijn het sterkste deel van het verhaal, want ze zijn concreet en deels controleerbaar. Anthropic zegt dat Mythos een 27 jaar oude denial-of-service-fout in de TCP-stack van OpenBSD opspoorde, een 17 jaar oude remote code execution-bug in de NFS-server van FreeBSD autonoom exploiteerde (nu CVE-2026-4747), en tegen Firefox 147 in 181 van de 210 pogingen werkende exploits maakte waar het vorige vlaggenschip op twee bleef steken. Mozilla bevestigde de samenwerking zelf: 271 kwetsbaarheden gevonden, 423 fixes uitgebracht in april tegenover 31 een jaar eerder, met een false-positive-rate onder de 5%. Dat is geen persbericht dat praat. Dat is de organisatie achter Firefox die echte bugs beschrijft die ze gepatcht heeft.

Project Glasswing: een closed beta voor de mensen die het internet draaiende houden

Anthropic zette Mythos niet zomaar op de open markt. Het bouwde er Project Glasswing omheen: een afgeschermd programma waarvan de launchpartners lezen als een who's who van wie de wereldwijde infrastructuur draaiende houdt, waaronder AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, de Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks, plus zo'n 40 andere organisaties rond kritieke software. Toegang is beperkt tot defensief werk, geprijsd op $25 en $125 per miljoen input- en output-tokens, en ondersteund met $100M aan usage credits en $4M aan donaties aan open-source securitygroepen.

De reden die Anthropic voor die muur geeft, is ongewoon eerlijk voor een bedrijf dat je zo meteen het ding erachter gaat verkopen: "Op dit moment heeft geen enkel bedrijf, Anthropic incluis, waarborgen ontwikkeld die sterk genoeg zijn om te voorkomen dat zulke modellen misbruikt worden." Dat is een rechtstreeks citaat uit de Glasswing-update. De uitrol die Anthropic net aankondigde, gaat dan ook nadrukkelijk over "Mythos-class modellen," en die formulering wijst op een beveiligde variant in plaats van precies de tool die de gesloten partners gebruiken. Cloudflare, een van die partners, merkte in zijn eigen relaas op dat dezelfde taak "anders geformuleerd of in een andere context volledig andere uitkomsten kan geven," wat een nette manier is om te zeggen dat de guardrails nog niet consistent zijn.

De closed beta bleef trouwens niet dicht. Rond 23 mei zagen gebruikers kort een claude-mythos-1-preview-toggle in de publieke builds van Claude Code en het nieuwe Claude Security-product, voordat Anthropic die weghaalde. En op 21 april kreeg een groep naar verluidt ongeautoriseerde toegang tot Mythos via een omgeving van een externe leverancier, door de URL van het model te raden op basis van Anthropics naamgevingsconventies. Anthropic zei dat het onderzoek deed en geen aanwijzingen vond dat de eigen systemen geraakt waren. Een inbraak werd nooit bevestigd. Beide incidenten doen er minder toe om wat ze onthulden dan om wat ze signaleren: een tool die zo waardevol is, lekt druk langs elke naad.

De CVE-storm is echt. Hij begon niet bij Mythos

De golf aan kwetsbaarheidsmeldingen is echt en meetbaar. Het aantal CVE-meldingen groeide met 263% tussen 2020 en 2025, het eerste kwartaal van 2026 lag ongeveer een derde hoger dan dezelfde periode in 2025, en FIRST voorspelt dit jaar meer dan 50.000 nieuwe CVE's. In april gaf de National Vulnerability Database van NIST toe dat het niet langer elke CVE kan verrijken en begon het te prioriteren op known-exploited en federale software. De instelling waar de hele sector op leunt voor kwetsbaarheidsdata staat kopje-onder.

Maar niets daarvan is een gevolg van Mythos. De versnelling liep al. Google's Big Sleep vond in juli 2025 een SQLite zero-day die werd klaargemaakt voor misbruik, en vond daarna nog 20+ bugs in veelgebruikte libraries. XBOW, een autonome AI-pentester, stond in juni 2025 bovenaan de Amerikaanse HackerOne-leaderboard met meer dan duizend meldingen. Google's AI-ondersteunde OSS-Fuzz is sinds begin 2024 open source. Een maand voordat Glasswing van start ging, zei Linux-kernelmaintainer Greg Kroah-Hartman tegen een KubeCon-zaal dat "er een maand geleden iets gebeurde, en de wereld omsloeg" toen er echt bruikbare, door AI gevonden bugmeldingen begonnen binnen te komen. Dezelfde tooling heeft een donkere spiegel: curl stopte zijn bug bounty onder een stortvloed aan AI-gegenereerde rommelmeldingen, de ruiskant van dezelfde munt.

Mythos is dus niet de oorsprong van de storm. Het is een versneller die op een al bestaand vuur wordt gegooid, en dat onderscheid bepaalt hoe zwaar je het volgende stuk moet wegen.

Waar de marketing de feiten voorbijstreeft

Anthropics meest geciteerde getal is 10.000+ high of critical kwetsbaarheden in de eerste maand, getrokken uit een scan van 23.019 over 1.000+ open-source projecten. Een extern bureau pakte een steekproef van 1.752 bevindingen en bevestigde 90,6% als geldig, en dat is een nette score. Het probleem zit in wat je zelf kunt nagaan. VulnCheck analyseerde het publieke CVE-register en vindt zo'n 40 CVE's die Anthropic-onderzoekers crediteren, en precies één die aan Project Glasswing als entiteit wordt toegeschreven: de FreeBSD-bug. CSO Online concludeerde dat "de publiek toe te schrijven impact van Glasswing zelf vooralsnog beperkt blijft".

Er is hier een eerlijke tegenwerping: CVE-toekenning loopt achter op ontdekking, embargo's verbergen werk dat nog loopt, en Anthropic beloofde een vollediger overzicht in juli. Het gat tussen 10.000 gevonden en 40 publiek traceerbaar is deels een kwestie van timing. Het is ook precies het soort gat waardoor je even moet afremmen voordat je het headline-getal van een leverancier als feit napraat.

De vlaggenschip-demo verdient dezelfde scepsis. Security-onderzoeker Davi Ottenheimer herleidde CVE-2026-4747 tot code van de University of Michigan uit 2000, op een andere branch al gepatcht in 2007, met de fix vermoedelijk gewoon in de trainingsdata van Mythos. Hij meldt dat acht veel kleinere open-weight modellen dezelfde bug allemaal detecteerden, eentje een model van 3,6 miljard parameters voor elf cent per miljoen tokens, en dat een derde partij binnen uren na de advisory een werkende exploit reproduceerde met het vorige publieke model. Zijn conclusie: dit is scaffold-gedreven ontdekking tegen een gekozen doelwit, niet de end-to-end magie die de framing suggereert.

Het meest geloofwaardige tegenwicht voor de hype is de enige onafhankelijke evaluatie. Het Britse AI Safety Institute (AISI) testte Mythos Preview en vond het echt sterk: 73% op expert capture-the-flag-taken, en het afronden van een 32-stappen netwerkaanval-simulatie in 3 van de 10 runs. Daarna voegde het de kanttekening toe die iedereen die de offensieve cijfers citeert meestal laat vallen. De testomgevingen "missen securityfeatures die vaak wél aanwezig zijn, zoals actieve verdedigers en defensieve tooling," en het instituut "kan niet met zekerheid zeggen of Mythos Preview goed verdedigde systemen zou kunnen aanvallen." De eerlijke samenvatting: het model is gevaarlijk tegen kleine, zwak verdedigde doelen waar al toegang is verkregen. Dat is een reëel risico. Het is niet hetzelfde als "breekt alles."

Zelfs het sectortheater wijst dezelfde kant op. Sam Altman noemde Anthropics afgeschermde release "ongelofelijk goede marketing", en vergeleek het met het verkopen van een schuilkelder nadat je de bom hebt aangekondigd. Negen dagen later beperkte OpenAI de toegang tot zijn eigen cybermodel, GPT-5.5-Cyber, op precies dezelfde manier. En een security-veteraan met 25 jaar ervaring bracht de ontnuchterende versie het best onder woorden bij Fortune: "We hebben nooit moeite gehad om kwetsbaarheden te vinden. We vinden ze elke dag. We hebben er zelfs een stapel van die we gewoon niet fixen."

Wat de mensen die het werk doen ervan vinden

De meest vernietigende recensie kwam van iemand met directe toegang. Daniel Stenberg, die curl onderhoudt en via de Linux Foundation in Glasswing kwam, tekende het contract, wachtte weken, en kreeg uiteindelijk een proxy-scan in plaats van de beloofde API-toegang. Van vijf "bevestigde security-kwetsbaarheden" die zijn team uren lang doorspitte, bleef er één met lage severity over. Zijn oordeel was niet mals: "de grote hype rond dit model was tot nu toe vooral marketing," en "een ongelofelijk geslaagde marketingstunt, dat wel." Hij zag geen bewijs dat Mythos iets meldt "van een nieuw soort of iets totaal nieuws," alleen verse exemplaren van de bugklassen die bestaande tools al vinden. Michal Zalewski, de maker van de afl-fuzzer, zette er een getal op: "80%+" van het kwetsbaarheidsonderzoek was "al geautomatiseerd met fuzzers."

De optiek van het verdienmodel lokte de scherpste cynische reacties uit. Een grap die terugkwam op Hacker News, Tildes en Lobsters vatte de stemming samen: "We hebben je landmijnen verkocht en nu moeten die weer weg? Mazzel, we hebben ook een mijnenruimdienst." Claude Code schrijft de bug, Claude Security vindt 'm, Claude Code patcht 'm, en iedereen rekent tokens af. Het is galgenhumor, maar het legt uit waarom een deel van de community dit weigert te lezen als simpelweg goed nieuws.

Niet iedereen is zuur, en die tegenstem verdient het om serieus genomen te worden. Simon Willison, bepaald geen kritiekloze Anthropic-fan, kwam uit op "daar kan ik mee leven," met het argument dat de securityrisico's geloofwaardig genoeg zijn dat vertrouwde teams een voorsprong geven een redelijke afweging is, zelfs met de overduidelijke PR-optiek. Dat is de eerlijke tweedeling in de zaal: de meeste praktijkmensen accepteren dat de onderliggende capaciteit echt is, en wantrouwen toch de verpakking eromheen.

De bottleneck was nooit het vinden. Het is het fixen

Die uitspraak van de veteraan, over de stapel bugs die niemand fixt, raakt de kern. Anthropics eigen cijfers bewijzen het: van 530 high of critical bugs die aan maintainers zijn gemeld, waren er 75 gepatcht op 22 mei. Een fixpercentage van 14%. Sommige open-source maintainers vroegen Anthropic om de meldingen te vertragen, omdat ze de capaciteit niet hadden om bij te benen. In Anthropics eigen woorden: "Vooruitgang in softwarebeveiliging werd vroeger beperkt door hoe snel we nieuwe kwetsbaarheden konden vinden. Nu wordt het beperkt door hoe snel we kunnen verifiëren, melden en patchen." Chris Hughes, die de nieuwsbrief Resilient Cyber schrijft, bracht het structurele probleem scherper: "Maintainers vragen niet om betere kwetsbaarheidsmeldingen. Ze vragen om minder meldingen."

Sta even stil bij wat dat creëert. Een kleine groep grote bedrijven heeft nu gedetailleerde kennis van ongepatchte kwetsbaarheden in software die zowat overal draait, terwijl de vrijwilligers die die software onderhouden het niet snel genoeg gefixt krijgen. Dat is een informatie-asymmetrieprobleem verpakt als een securitywinst, en het siert Anthropic dat het de Glasswing-NDA's versoepelde na kritiek, en partners expliciet toestond bevindingen te delen met externe teams en maintainers. De framing van Bruce Schneier is degene waar ik op zou wedden: een paar turbulente jaren onderweg naar "een nieuw normaal waarin verificatie voorop staat en software continu gepatcht wordt." Systemen die makkelijk te patchen en te verifiëren zijn (je telefoon, je browser, managed diensten) komen er beter uit. Systemen die je niet kunt patchen of verifiëren (goedkope IoT, verlaten dependencies, onderhoudsvrije plugins) zijn waar de aanval wint.

Wat dit betekent voor de software die jij draait

De defensieve zet is niet om in paniek te raken over Mythos. Het is om aan te nemen dat de capaciteit nu permanent en goedkoop is, en te handelen op het enige dat volledig in jouw macht ligt: verklein je eigen aanvalsoppervlak voordat de autonome tooling van iemand anders het in kaart brengt.

De logica is dezelfde die verdedigers altijd al gebruikten, alleen met de klok op snelheid. Als een model duizend open-source projecten kan scannen en daar echte bugs in vindt, dan staan de projecten waar jij van afhankelijk bent (je CMS, je plugins, je container-images, je vergeten dependencies) op die lijst of je nou meedoet of niet. De rationele reactie is om datzelfde soort audit eerst op je eigen stack te draaien. Dat betekent dat je precies weet wat je draait en op welke versies, dat je dependencies wegdoet die geen securityupdates meer krijgen (de kernelbug die ik behandelde in copy.fail werd zelf via AI-ondersteunde analyse opgespoord, en die hoek van onderhoudsvrije dependencies is hier de zwakke plek), en dat je patchcadans behandelt als een eersterangs operationele metric in plaats van een klusje. Voor WordPress specifiek is dit hetzelfde argument dat ik eerder maakte: plugins zijn het dominante aanvalsoppervlak, en zodra een aanvaller eenmaal binnen is, beweegt die precies zoals ik beschreef in deze hack-postmortem. Wat verandert, is hoe snel die voet tussen de deur gevonden wordt.

Wanneer is de paniek echt onterecht? Als je een dichtgetimmerde, goed onderhouden stack draait zonder uitvoer van untrusted code, met een strakke dependencylijst en een patchproces dat niets overslaat, dan werkt de kanttekening van AISI juist in jouw voordeel: deze tools zijn gevaarlijk tegen zwak verdedigde systemen, en dat ben jij niet. De asymmetrie die je zorgen zou moeten baren, is niet aanvaller-tegen-verdediger in het abstract. Het is goed-onderhouden tegen verwaarloosd. Mythos beloont de mensen die het saaie werk al deden en straft degenen die de boel lieten verslonzen. Dat was altijd al zo. Alleen was de prijs van verwaarlozing vroeger een langzaam lek, en nu een sneller lek.

De andere verschuiving om te internaliseren, voorbij je eigen perimeter: de EU is de AI-transparantielaag van dit alles al aan het reguleren. Draai je een chatbot of AI-functie op een site, dan landt de transparantieverplichting uit de AI Act in augustus 2026, en dezelfde regelgevingsreflex die dat opleverde bereikt uiteindelijk ook offensieve-capaciteitsmodellen. De bedrijven die AI-security nu als een bewuste, gedocumenteerde praktijk behandelen, hebben de komende twee jaar om bij te sturen. Wie het als andermans probleem ziet, brengt die jaren reagerend door.

Belangrijkste punten

  • Claude Mythos is een echte stap in capaciteit: een AI die zelfstandig kwetsbaarheden vindt en exploiteert, met door Mozilla bevestigde bugs als bewijs. Het is geen sciencefiction en geen pure marketing.
  • De kop van 10.000 kwetsbaarheden is nog niet onafhankelijk te verifiëren. Zo'n 40 CVE's crediteren publiek Anthropic-onderzoekers, en de vlaggenschip-FreeBSD-demo is geloofwaardig betwist.
  • De AI-gedreven CVE-golf is ouder dan Mythos. Google Big Sleep, XBOW en OSS-Fuzz draaiden al, en de NVD van NIST staat al kopje-onder.
  • De echte crisis is de patch-bottleneck, niet het vinden van bugs. Een fixpercentage van 14% op gemelde kritieke bugs is het getal dat je zorgen zou moeten baren.
  • De defensieve reactie is weinig glamoureus en volledig in jouw macht: weet wat je draait, gooi onderhoudsvrije dependencies weg, en behandel patchcadans als een metric. Mythos beloont onderhouden systemen en straft verwaarloosde.

Uitzoeken wat AI betekent voor jouw platform of software?

AI verandert hoe platforms en software worden gebouwd, gebroken en verdedigd. Ik help teams de signalen van de hype te scheiden: wat je wel oppakt, wat je negeert, en hoe je veilig blijft terwijl de rest in paniek schiet.

Bespreek je AI-vraagstuk

Gerelateerde artikelen

  1. WP Guardian (Patchstack) uitgelegd: extra bescherming als updates even moeten wachten

    WP Guardian is een extra beveiligingslaag met kwetsbaarheidsscanning en virtuele patching. In deze post leg ik uit wat het doet, wat het niet doet en waarom het vooral handig is als updates even moeten wachten.

    1768 woorden
  2. Wat een Web Application Firewall doet voor WordPress (en wat niet)

    Wat doet een Web Application Firewall (WAF) voor je WordPress-site, en wat niet? In dit artikel leg ik uit welke aanvallen een WAF blokkeert, waar de grenzen liggen en hoe het in de praktijk helpt.

    2849 woorden
  3. Wat gebeurt er bij een WordPress-hack in de praktijk?

    Je website is gehackt – wat nu? In deze blogpost loop ik stap voor stap door een typisch WordPress-hackscenario en leg ik uit wat er gebeurt en hoe je het kunt voorkomen.

    1423 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.