🚨 Claude Mythos Preview is zó goed in het vinden, combineren én misbruiken van kwetsbaarheden dat Anthropic ervoor kiest om het model niet breed uit te brengen. Het is nu nog een té groot risico op wereldschaal om dit nieuwe AI-model te releasen. Toegang wordt (vooralsnog) beperkt en defensief ingezet via Project Glasswing.
Claude Mythos Preview: waarom dit het security-landschap kantelt
Anthropic presenteert Claude Mythos Preview als een model dat twee werelden samenbrengt:
- Vulnerability research (zero-days vinden)
- Exploit development (het daadwerkelijk werkend misbruik maken)
En dat gebeurt niet alleen “beter”, maar vooral: sneller, autonomer en op schaal. Dat maakt deze ontwikkeling fundamenteel anders dan wat we de afgelopen 20 jaar aan ontwikkeling op vulnerability vlak hebben gezien.
1) Waarom Mythos (nog) niet breed wordt uitgebracht
De kern is dat de capability–risico balans is doorgeschoten.
- Te veel impact, te weinig patch-marge: Anthropic zegt dat het merendeel van de gevonden kwetsbaarheden nog niet gepatcht is. Als je dan details of brede toegang geeft, verklein je de tijd die defenders hebben om te reageren.
- Het verlaagt de drempel voor serieuze aanvallen: In de originele post staat expliciet dat zelfs engineers zonder formele security-opleiding Mythos konden vragen om RCE’s te zoeken “overnight” en wakker werden met werkende exploit-routes.
- Daarom: Project Glasswing (controlled release): In plaats van een publieke release kiest Anthropic voor een beperkt programma met kritieke partners en open-source maintainers, zodat verdedigers de eerste schaalvoordelen krijgen.
2) De echte game changer: exploit chaining (kwetsbaarheden knopen)
Een enkele bug is vaak niet genoeg. Moderne systemen hebben mitigations (sandboxing, ASLR/KASLR, privilege separation, hardening). De doorbraak zit volgens Anthropic in het vermogen om:
- kwetsbaarheden te vinden,
- kwetsbaarheden te valideren, én
- meerdere zwaktes te combineren tot één werkende aanval.
2.1 Chaining in simpele taal
- Bug A geeft een klein voordeel (bijv. “een beetje geheugen lezen”).
- Dat wordt gebruikt om een verdediging te omzeilen (bijv. adressen/structuren achterhalen).
- Bug B geeft een write primitive (bijv. out-of-bounds write / use-after-free).
- Met een spray/ROP/JIT‑constructie wordt dit een werkende exploit.
- Daarna kan er nog een stap volgen (sandbox escape → privilege escalation).
Dit is precies waar “defense in depth” normaal op leunt: elke laag maakt het aanvallen lastiger. Mythos haalt een deel van die moeite weg, omdat het sneller iteraties kan draaien.
3) Misbruik op schaal: waarom autonomie + parallelisatie alles verandert
Waar exploit development normaal:
- veel handwerk,
- veel tijd,
- en weinig parallelisatie kent,
beschrijft Anthropic nu een workflow waarin een model:
- honderden pogingen parallel kan draaien,
- automatisch files/aanvalsvlakken kan prioriteren,
- tooling kan gebruiken om false positives te verminderen,
- en (soms) van discovery → exploit kan gaan met minimale menselijke sturing.
Gevolg: “security debt” wordt gevaarlijker
Oude features, obscure codepaden en legacy componenten waren altijd al riskant, maar vaak niet “rendabel” om diep uit te buiten. Als AI die rendabiliteit verandert, wordt de attack surface praktisch groter.
4) Waarom dit een fundamentele verschuiving is
De kern van cybersecurity is jarenlang opvallend stabiel gebleven:
- complexiteit groeit,
- kwetsbaarheden blijven bestaan,
- patching is traag,
- mitigations verhogen drempels,
- en de bottleneck is vaak menselijke tijd + expertise.
Wat Anthropic nu claimt, is dat de bottleneck verschuift:
- minder “kunnen we dit ooit vinden?”
- meer “kunnen we dit vóór weaponization fixen?”
Dat is een landschapsverandering, omdat het de time constants in cyber verandert.
5) Wat dit concreet betekent voor organisaties
- CVE → exploit tijdlijnen krimpen.
- Continuous monitoring wordt minder ‘nice to have’ en meer essentieel.
- Vulnerability Chaining wordt normaler.
- Defenders hebben AI nodig. Niet als gadget, maar als productie-tooling (scanning, triage, patching, hardening).
Conclusie
Mythos gaat niet over “iets betere security tooling”, maar over een nieuwe fase waarin AI:
- onbekende kwetsbaarheden kan vinden,
- exploits kan ontwikkelen,
- en dat in workflows die schaal en snelheid toevoegen.
