De angst voor de AI vulner-apocolypse

Ben jij al bang voor de vulner-apocolypse? Met Mythos in aantocht moeten we nu toch echt allemaal in actie komen tegen AI-aanvallen. Bestuurders willen van de CISO weten wat we nu voor strategie hebben om de onuitputtelijke stroom AI-aanvallen die ons gaan bestormen het hoofd te kunnen bieden. Maar hoe zeker is het dat die stroom er gaat komen? En hebben we daar eigenlijk wel een specifieke strategie voor nodig?

Ik schreef er eerder dit artikel over [1]. Anthropic heeft bekendgemaakt hun nieuwe AI genaamd “Mythos” niet breed beschikbaar te maken voor het grote publiek. Daarvoor was het “te gevaarlijk”[2]. Prompt bleken een paar mensen uit een Discord-kanaal simpelweg door een URL te gokken en credentials te hergebruiken zichzelf toegang te hebben verschaft tot deze “gevaarlijke” AI van Anthropic[3]. Wat zij ermee deden? Een paar simpele websites bouwen. Hoe ironisch is dit? ‘s Werelds meest gevaarlijke AI werd zelf gehackt door het eenvoudig gokken van een URL. Je zou jezelf bijna afvragen of Anthropic niet aan Mythos had kunnen vragen zichzelf eens te scannen op kwetsbaarheden.

​Mythos is minder zelfstandig dan het lijkt

Alle gekheid op een stokje. De angst die ons security experts wordt aangepraat is niet mis. We verwachten een ware hausse aan kwetsbaarheden binnen nu en enkele maanden. En (sommige) CISO’s stuurden een brandbrief [4]. Of AI daadwerkelijk in staat is grote hoeveelheden kwetsbaarheden te vinden, is overigens maar de vraag. Nederlands techbedrijf AISLE kon de vondsten van Mythos zonder veel moeite reproduceren [5]. Daarvoor gebruikte het vooral lichtgewicht, goedkope al bestaande AI’s. Maar wie het rapport van Anthropic goed leest, ziet dat ook Mythos het niet lukte om de gevonden kwetsbaarheden volledig zelfstandig op te sporen. Daarin is te zien dat ook Mythos gebruik maakte van diens voorgangers' bevindingen om op voort te borduren [6]. Het lukt momenteel AI’s nog niet om van begin tot het eind een aanval uit te voeren vanaf zero-day-niveau. Dus de kwetsbaarheid vinden, exploit maken, zoeken in het wild, doelwit vinden en daadwerkelijk misbruiken (in een echte situatie, niet zoals in dit rapport waar alle beveiliging uitgeschakeld stond >> rapport [7]). Ik ben daar zelf nog niet direct door weggeblazen, eerlijk gezegd.

​Kwetsbaarheden zijn nooit de bottleneck geweest

Andere argumenten die ik veelal hoor zijn: “de schaal is groter” en “iedereen kan straks kwetsbaarheden vinden en misbruiken zonder veel kennis”. Is dat zo en is dat relevant?

Om met de schaal te beginnen. De claims zijn dat AI op grote snelheid en schaal kwetsbaarheden kan vinden (en exploits kan maken). Als we kijken naar het aantal gevonden kwetsbaarheden op jaarbasis, praten we over zo’n 350.000 kwetsbaarheden [8]. Dit aantal stijgt overigens al jaren. Lang voor AI. Van die 350.000 kwetsbaarheden, weten we dat er van ongeveer 8.000 een publieke exploit beschikbaar is. Dus een manier om misbruik van de kwetsbaarheid te maken. Maar van die 8.000 wordt uiteindelijk slechts ongeveer 1.500 daadwerkelijk misbruikt in het wild (dat we waarnemen). Dus, we hebben nu al vele malen meer kwetsbaarheden inclusief publiek bekende exploits, dan dat aanvallers kunnen/willen misbruiken. Zijn de beschikbare kwetsbaarheden/exploits echt de bottleneck voor aanvallers? Zo gezien zou ik stellen van niet.

“Iedereen kan straks met weinig kennis kwetsbaarheden vinden en misbruiken.” Stel dat AI wél in staat zou zijn geheel zelfstandig de keten af te lopen die ik beschreef vanaf zero day tot misbruik in het wild op grote schaal. Dan is er nog een ander probleem; geld. Sommige mensen stellen dat Mythos kwetsbaarheden vond voor ongeveer 50 dollar aan tokens. Wat mensen zich niet lijken te realiseren, is dat dergelijke modellen pas een beetje oké zijn in dit soort acties (kwetsbaarheden vinden, exploit maken, zoeken, misbruiken etc.) door meerdere prompts/pogingen. Er gaan dus heel veel acties (en tokens!) vooraf aan de uiteindelijke opdracht die slaagt.

Marcus Hutchins, bekende malware expert, zei het treffend: “Het is alsof je alle loten uit een loterij opkoopt voor 300 miljoen dollar, om vervolgens uit te kraaien dat het winnende lot je slechts 1 dollar gekost heeft.” [9] AISLE kon hetzelfde bereiken met lichter gewicht en goedkopere modellen, maar reproduceerde daar vooral al gedane bevindingen mee. Het is niet zo dat deze nu ineens gezamenlijk op grote schaal de kill chain afwandelden voor een schijntje. Kwetsbaarheden vinden en misbruiken met AI's als deze zijn nog altijd duur. Is het te duur voor criminelen en statelijke actoren? Waarschijnlijk niet. Maar zie daarvoor wat ik hierboven al zei; kwetsbaarheden vinden en misbruiken was al nooit het probleem. Dus waarom zouden ze? En mensen zonder kennis en vaardigheden zullen ook met AI nog moeite hebben om werkende kwetsbaarheden en exploits te krijgen die stabiel zijn voor een schappelijke prijs.

De realiteit is dat de bottleneck niet ligt bij kwetsbaarheden of exploits. Deze ligt veel eenvoudiger. Namelijk bij zaken als:

• Is een kwetsbaar en exploitable systeem überhaupt te bereiken (via internet)? Alles is fijn als er een kwetsbaarheid en exploit zijn, maar als je er niet bij kan komen, wat schiet je er dan mee op?
• Veel kwetsbaarheden misbruiken instabiele bugs. Als je die niet stabiel kunt krijgen, zal je grote moeite hebben er massaal misbruik van te maken.
• Hoelang is een kwetsbaar systeem wat te bereiken is, beschikbaar? Soms zijn kwetsbare systemen lang te bereiken via internet. Maar vaak genoeg worden ze gepatched of uitgezet. Nu is snelheid voor AI in theorie geen grote horde, maar het is wel relevant. Leuk dat je een kwetsbaarheid hebt gevonden, een exploit hebt gemaakt en een slecht beveiligd doelwit hebt gevonden, maar hoe lang duurt het voordat je die allemaal hebt kunnen backdooren?

Maar “de snelheid is zo hoog, daar is te weinig tijd om nog tegen te verdedigen!”. Ook daar is geen bewijs voor. Aanvallen zijn al jaren grotendeels geautomatiseerd [10]. Kijk naar ransomware. Of joh, doe eens gek, laten we hem er gewoon weer eens bij pakken; goede oude STUXNET.

​Verdedigen tegen AI doe je met wat je al hebt

Dat brengt mij tot mijn belangrijkste punt; beveiliging. Want beveiliging tegen AI-aanvallen werkt niet wezenlijk anders dan tegen de aanvallen die we nu al zien. AI is geen mythisch wezen dat op volstrekt nieuwe manieren ons aanvalt. Het maakt opvallend vaak gebruik van bekende dingen als SQL injection [11], om maar iets te noemen.

Het gevaar van AI-aanvallen ga je op dezelfde manier te lijf als de al bekende aanvallen; namelijk met dingen als phishingresistente MFA, configuratie goed zetten op dingen als je firewalls en VPN's, monitoring en end point beveiliging.

Ja.

End point beveiliging.

“Maar AI kan die juist heel makkelijk omzeilen.” Niet makkelijker dan al bestaande malware dat kan. Sommige mensen lijken te denken dat moderne antivirus nog kijkt naar signatures. Dat het zoekt naar bepaalde soorten code en die vergelijkt met bekende malware. Dat is (al heel lang) niet meer zo. Marcus Hutchins zei het wederom treffend: “Het is alsof we tegen bewakers van een museum zeiden: ‘Let op mensen met zwarte jassen. Dat zijn vaak dieven!’ En vervolgens hadden de dieven dat door en gingen gewoon een andere kleur jas dragen” [12]. In plaats daarvan kijkt moderne antivirus niet naar uiterlijke kenmerken (welke kleur jas mensen dragen in het museum), maar het kijkt naar gedrag (mensen die daadwerkelijk iets pakken en proberen mee te nemen). En daarin gedragen AI’s zich bottom line nog hetzelfde; ze breken in en proberen iets te stelen/versleutelen/whatever. Dus moderne antivirus werkt ook gewoon tegen aanvallen met AI.

Overigens wil ik nog wel zeggen; aanvallen door/met AI is wel iets totaal anders dan dat we kwetsbaar zijn vanwege het gebruik van AI. Dat we gehackt worden doordat we onze eigen AI-systemen slecht beveiligen, daar heb je met mij echt totaal geen discussie over. Dat zie ik als een bewezen feit. Maar daar gaat deze column nadrukkelijk dus niet over.

​De hype loopt op de werkelijkheid vooruit

Moeten we bang zijn voor een hausse aan AI-aanvallen? Ik betwijfel het. Dat AI het dreigingslandschap lijkt te veranderen, durf ik in mee te gaan. Maar of de angst en aanpassing in strategie voor de beveiliging gerechtvaardigd is? Dat moet ik nog zien. Ik ben wat dat betreft misschien een old-gen CISO. Ik ga niet graag met elke trend mee, maar ik kijk naar daadwerkelijk bewijs voordat ik een zorgvuldig gekozen strategie radicaal omgooi. En het bewijs voor een hausse aan AI-gedreven aanvallen vind ik nu toch echt nog veel te mager.

AI maakt aanvallen niet magisch, het maakt ze hooguit iets efficiënter in een landschap dat al overloopt van kwetsbaarheden. En zolang dat zo is, is de “vulner-apocalypse” vooral een hype die harder groeit dan de daadwerkelijke dreiging zelf.

---

[1] https://www.linkedin.com/posts/fleur-van-leusden-356bb054_de-ai-hype-in-cybersecurity-is-gevaarlijk-activity-7449377678534590464-7iWQ?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAuRQPIBlxkqeaXmulrMbAE_1wXquWhsLBk

[2] https://red.anthropic.com/2026/mythos-preview/

[3] https://techcrunch.com/2026/04/21/unauthorized-group-has-gained-access-to-anthropics-exclusive-cyber-tool-mythos-report-claims/

[4] https://www.cisocommunity.nl/news/423-window-for-defensive-ai-readiness-is-closing-faster-than-expected

[5] https://aisle.com/blog/ai-cybersecurity-after-mythos-the-jagged-frontier

[6] https://www.penligent.ai/hackinglabs/anthropic-mythos-strong-claims-and-thin-binary-proof/

[7] https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities

[8] https://www.linkedin.com/posts/grossmanjeremiah_the-dominant-view-in-my-filter-bubble-is-activity-7455423065439768578-Syrr?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAuRQPIBlxkqeaXmulrMbAE_1wXquWhsLBk

[9] https://www.linkedin.com/feed/update/urn:li:activity:7449628670249426944?updateEntityUrn=urn%3Ali%3Afs_updateV2%3A%28urn%3Ali%3Aactivity%3A7449628670249426944%2CFEED_DETAIL%2CEMPTY%2CDEFAULT%2Cfalse%29

[10] https://www.linkedin.com/feed/update/urn:li:activity:7453221405472608256?updateEntityUrn=urn%3Ali%3Afs_updateV2%3A%28urn%3Ali%3Aactivity%3A7453221405472608256%2CFEED_DETAIL%2CEMPTY%2CDEFAULT%2Cfalse%29

[11] https://neuraltrust.ai/blog/agent-hacked-mckinsey

[12] https://www.linkedin.com/posts/malwaretech_why-ai-polymorphic-malware-doesnt-make-sense-ugcPost-7454502298539536384-sPce?utm_source=share&utm_medium=member_desktop&rcm=ACoAAAuRQPIBlxkqeaXmulrMbAE_1wXquWhsLBk