Skip to main content
📝 Claude Mythos

Claude Mythos heeft cybersecurity voorgoed veranderd

Anthropic's Claude Mythos vond duizenden zero-days en een 27 jaar oude OpenBSD-bug. Ontdek waarom dit AI-model cybersecurity voor elke ontwikkelaar verandert.

18 min

Leestijd

3,573

Woorden

Apr 06, 2026

Gepubliceerd

Engr Mejba Ahmed

Geschreven door

Engr Mejba Ahmed

Artikel delen

Claude Mythos heeft cybersecurity voorgoed veranderd

Claude Mythos heeft cybersecurity voorgoed veranderd

Een 27 jaar oude bug. Verborgen in OpenBSD — algemeen beschouwd als het meest beveiligde besturingssysteem ter wereld. Gemist door elke menselijke onderzoeker, elke geautomatiseerde scanner, elke fuzzer, elke penetratietester die ooit aan die codebase heeft gewerkt gedurende bijna drie decennia.

Anthropic's Claude Mythos vond het in uren.

Niet door een slimme truc of nieuwe techniek. Het model was niet eens getraind voor cybersecuritywerk. Anthropic bouwde Mythos om uitzonderlijk goed code te schrijven, en het neveneffect — het onbedoelde gevolg van iets bouwen dat briljant is in het construeren van software — was dat het even briljant werd in het ontmantelen van software.

Die paradox is wat dit verhaal werkelijk verontrustend maakt. En werkelijk opwindend. Want wat Anthropic nu in handen heeft, is niet zomaar een beter hulpmiddel. Het is een vermogen dat kan herdefiniëren wie het voordeel heeft in cybersecurity — aanvallers of verdedigers — voor het komende decennium.

Ik volg AI-modelreleases obsessief sinds ik fulltime met Claude Code ben gaan bouwen. Ik heb Opus 4.6 beoordeeld toen het uitkwam en weken besteed aan het testen van de grenzen. Ik schreef over het beveiligen van AI-agents nadat ik bijna mijn eigen infrastructuur verwoestte met een verkeerd geconfigureerde autonome opstelling. Dus toen Anthropic Mythos en Project Glasswing aankondigde op 7 april 2026, las ik niet alleen het persbericht — ik dook diep in de technische onthullingen, de benchmarkgegevens, de partnerlijst en de ongemakkelijke vragen die niemand in de lanceringscoverage leek te durven stellen.

Dit is wat ik vond. En dit is waarom ik denk dat elke ontwikkelaar, niet alleen beveiligingsspecialisten, moet opletten.

Het slotenmakersprobleem: waarom een codeermodel alles breekt

De analogie die Anthropic intern blijft gebruiken is de slotenmakeranaalogie, en die is treffend genoeg om goed uit te pakken.

Je traint iemand om de meest ingewikkelde, precieze sloten te bouwen die je je kunt voorstellen. Ze begrijpen de interne mechanismen op moleculair niveau — elke pin, elke tuimelaar, elke tolerantie. Op een gegeven moment overschrijdt die kennis een drempel. De persoon begrijpt niet alleen hoe je sloten bouwt. Ze begrijpen hoe je ze verslaat.

Claude Mythos is niet getraind op exploitdatabases. Het werd niet gevoed met CVE-rapporten of penetratietestmethodologieën. Anthropic trainde het om uitzonderlijke code te schrijven — om software te begrijpen op een diepte die eerdere modellen niet konden evenaren. En ergens in die training ontwikkelde Mythos een opkomend vermogen: het kon naar code kijken en de structurele zwakheden zien die mensen al jaren missen.

Dit is het deel dat je rechtop moet laten zitten. De cybersecuritycapaciteiten waren geen functie. Ze waren een neveneffect. Anthropic was niet van plan een hack-AI te bouwen. Ze wilden een betere codeer-AI bouwen, en het hacken kwam er gratis bij.

De implicaties zijn ongemakkelijk voor iedereen die aannam dat AI-cybersecuritydreigingen zouden komen van modellen die specifiek ontworpen zijn voor offensieve beveiliging. Dat zal niet zo zijn. Ze zullen komen van modellen die gewoon heel, heel goed zijn in het begrijpen van code.

Die 27 jaar oude OpenBSD-kwetsbaarheid? Die zat in de SACK-implementatie — het TCP Selective Acknowledgment-mechanisme. Mythos identificeerde dat een tegenstander elke OpenBSD-host die via TCP reageert kon crashen door een fout in de verwerking van SACK-opties te misbruiken. Er was geen mens betrokken bij de ontdekking of de exploitketen na de initiële instructie. Het model vond het, begreep het en demonstreerde het autonoom.

En OpenBSD was niet het enige doelwit.

De cijfers waardoor ik stopte met scrollen

Ik heb veel AI-benchmarks op deze site behandeld. De meeste zijn ongeveer vijf minuten interessant voordat het volgende model de leider voorbijstreeft. Maar de Mythos-benchmarkresultaten zijn niet alleen incrementeel beter — ze vertegenwoordigen een kloof die breed genoeg is om als een andere categorie te gelden.

Op SWE-bench Verified, de belangrijkste maatstaf van de industrie voor real-world software engineering-capaciteit, scoorde Mythos 93,9%. Ter vergelijking: Opus 4.6 — het model dat ik dagelijks gebruik en oprecht geweldig vind — scoort 80,8%. Dat is een kloof van 13,1 punt. Op een benchmark waar modellen het afgelopen jaar hebben gevochten om fracties van een procentpunt, sprong Mythos een hele klasse omhoog.

SWE-bench Pro — de moeilijkste laag van die benchmark, waar problemen meerstapsredenering over complexe codebases vereisen — vertelt een nog dramatischer verhaal. Mythos: 77,8%. Opus 4.6: 53,4%. Dat is geen incrementele winst. Dat is het verschil tussen een junior ontwikkelaar en een senior architect.

Op SWE-bench Multilingual, die codebegrip over programmeertalen test: Mythos 87,3%, Opus 4.6 op 77,8%.

Maar het cijfer dat het meest telt voor dit gesprek is de CyberGym-benchmark — een gespecialiseerde evaluatie die het vermogen van een model meet om softwarekwetsbaarheden te identificeren en te exploiteren. Mythos scoorde 83,1%. Opus 4.6 scoorde 66,6%. Een kloof van 16,5 punt op een cybersecurity-specifieke benchmark.

Om die 83,1% in perspectief te plaatsen: de CyberGym-evaluatie bevat taken die professionele beveiligingsonderzoekers — mensen die dit voor hun beroep doen, met jarenlange ervaring — niet consistent oplossen. Mythos is niet alleen competitief met menselijke experts. Op een betekenisvol deel van deze taken presteert het beter dan zij.

Dat is het punt waarop dit ophield een interessant benchmarkverhaal te zijn en begon een verhaal te worden over de toekomst van de hele cybersecurityindustrie.

De bugs die mensen niet konden vinden

Benchmarks zijn abstracties. Wat mij overtuigde dat dit echt was, waren de specifieke kwetsbaarheden die Mythos vond in productiesoftware die dagelijks door miljarden mensen wordt gebruikt.

De OpenBSD SACK-bug (27 jaar oud)

Ik heb deze al genoemd, maar de details zijn belangrijk. De hele reputatie van OpenBSD is gebouwd op beveiliging. Hun ontwikkelproces omvat rigoureuze code-audits. Hun team runt een van de meest paranoïde, beveiligingsbewuste open-sourceprojecten die er bestaan. Het OpenBSD-project heeft in zijn hele geschiedenis slechts twee remote holes gehad in zijn standaardinstallatie — dat is de marketingslogan waar ze beroemd om zijn.

Mythos vond een remote crash-bug in deze codebase. Niet in een obscuur, zelden gebruikt subsysteem. In de TCP-stack — een van de meest grondig onderzochte stukken netwerkcode in het besturingssysteem. De kwetsbaarheid had daar gelegen sinds ongeveer 1999, door honderden code-audits, door decennia van de meest beveiligingsbewuste ontwikkelcultuur in open source.

Geen geautomatiseerd hulpmiddel vond het. Geen menselijke onderzoeker vond het. Een AI-model dat was getraind om goede code te schrijven, vond het als neveneffect van het begrijpen hoe goede code eruitziet.

De FFmpeg-kwetsbaarheid (16 jaar oud)

Deze is technisch gezien indrukwekkender, en dit is waarom. FFmpeg is de ruggengraat van videoverwerking op het internet. Als je het afgelopen decennium een video online hebt bekeken, heeft FFmpeg het waarschijnlijk op enig moment aangeraakt. Netflix gebruikt het. YouTube gebruikt het. VLC, OBS, Handbrake — de lijst is enorm.

De kwetsbaarheid die Mythos ontdekte was gemist ondanks dat geautomatiseerde testtools de relevante coderegel vijf miljoen keer hadden geraakt. Vijf miljoen. De fuzzers draaiden. De statische analysers draaiden. De testsuites dekten het codepad. En de bug overleefde het allemaal omdat het niet het soort kwetsbaarheid was dat patroonherkennningstools opvangen.

Dit is het cruciale inzicht: traditionele kwetsbaarheidscanners zoeken naar bekende patronen. Ze matchen tegen databases van bekende kwetsbaarheidstypen. Ze controleren op buffer overflows, SQL-injecties, use-after-free-condities — de catalogus van bekende aanvalsklassen.

Mythos doet geen patroonherkenning. Het begrijpt code. Het redeneert over wat de code zou moeten doen, wat het daadwerkelijk doet, en waar de kloof tussen die twee dingen een exploiteerbare conditie creëert. Dat is een fundamenteel andere aanpak, en het vangt een geheel andere klasse bugs op.

Linux-privilegeverhoging

Mythos identificeerde ook bugs in de Linux-kernel die privilegeverhoging mogelijk maken — het vermogen voor een gewone gebruiker om root-toegang te verkrijgen. De specifieke details vallen nog onder verantwoorde openbaarmaking, wat precies is hoe dit zou moeten werken. Maar het patroon is consistent: oude bugs, goed gecontroleerde code, gemist door elke bestaande methode.

Kwetsbaarheidsketening

Dit is het deel dat mij werkelijk verontrustte. Mythos vindt niet alleen individuele kwetsbaarheden op zichzelf. Het ketent ze aaneen. Het neemt meerdere kleine, ogenschijnlijk laag-risico problemen — het soort dat als "lage prioriteit" zou worden gemarkeerd in een typische beveiligingsaudit — en combineert ze tot volledige aanvalspaden.

Een kleine informatieonthulling hier. Een race condition daar. Een iets te ruime bestandspermissie ergens anders. Individueel zou geen van deze een alarm triggeren. Samen vormen ze een complete kill chain van initiële toegang tot volledige systeemcompromittering.

Dit is precies hoe geavanceerde menselijke aanvallers opereren. Ze vertrouwen niet op enkele dramatische exploits. Ze ketenen kleine zwakheden aaneen. En nu kan een AI het autonoom doen, sneller dan welk menselijk team dan ook.

De vraag waar ik steeds op terugkom: als het model van Anthropic dit kan, waartoe zijn andere modellen dan in staat — degene die worden ontwikkeld zonder Anthropic's veiligheidskader? We komen zo terug op die ongemakkelijke gedachte.

Project Glasswing: de weddenschap van $100 miljoen op verdediging

Anthropic deed iets wat ik oprecht respecteer met de Mythos-aankondiging. Ze hadden het publiekelijk kunnen vrijgeven — stel je de persaandacht voor, de benchmarkrechten, de API-inkomsten. In plaats daarvan keken ze naar wat ze hadden gebouwd, begrepen de dual-use implicaties en kozen voor beperking.

Project Glasswing is het resultaat. Aangekondigd op 7 april 2026, het is een gestructureerd implementatieprogramma dat Mythos in handen legt van verdedigers terwijl het uit de buurt van het grote publiek blijft. De partnerlijst leest als een who's-who van technologie-infrastructuur:

  • Amazon (AWS) — cloudinfrastructuurbeveiliging
  • Apple — apparaat- en ecosysteembeveiliging
  • Broadcom — halfgeleiders en bedrijfssoftware
  • Cisco — netwerkinfrastructuur
  • CrowdStrike — endpointbeveiliging en dreigingsintelligentie
  • Google — cloud- en consumentendiensten
  • JPMorganChase — financiële systeembeveiliging
  • Linux Foundation — open-source software supply chain
  • Microsoft — besturingssystemen en cloudplatforms
  • Nvidia — GPU-infrastructuur en AI-systemen
  • Palo Alto Networks — netwerkbeveiliging

Dat zijn 12 kernpartners, met meer dan 40 extra organisaties die toegang krijgen onder verschillende niveaus van beperking. Het model wordt gebruikt om zowel eigen als open-source softwaresystemen te scannen op kwetsbaarheden in de code.

De financiële toezegging is aanzienlijk. Anthropic legt $100 miljoen in aan gebruikskrediet voor defensief beveiligingswerk. Daarbovenop $4 miljoen aan directe donaties aan open-source beveiligingsorganisaties — $2,5 miljoen aan Alpha-Omega en OpenSSF via de Linux Foundation, en $1,5 miljoen aan de Apache Software Foundation.

De $100 miljoen aan kredieten is geen liefdadigheid. Het draaien van een model van deze omvang tegen enorme codebases kost echte rekenkracht. Maar het signaal dat het uitzendt is belangrijk: Anthropic subsidieert het defensieve gebruik van een vermogen dat enorm winstgevend zou zijn als het aan de hoogste bieder zou worden verkocht.

Er is ook een transparantietoezegging. Anthropic heeft verklaard dat ze binnen 90 dagen publiekelijk de lessen van Project Glasswing zullen delen. Niet de kwetsbaarheden zelf — dat zou onverantwoord zijn — maar de methodologieën, patronen en defensieve inzichten die voortkomen uit het scannen van productiecode op schaal met een model van dit kaliber.

Als u liever een professioneel team de beveiligingsstatus van uw organisatie laat beoordelen terwijl deze AI-mogelijkheden rijpen, werk ik met xCyberSecurity aan precies dit soort opdrachten — kwetsbaarheidsbeoordelingen, penetratietests en beveiligingsaudits die rekening houden met het nieuwe AI-dreigingslandschap.

Waarom ik denk dat dit de berekening voor elke ontwikkelaar verandert

Hier wil ik persoonlijk worden, want dit verhaal gaat niet alleen over Anthropic en hun partners. Het gaat over jou en mij en iedereen die nu code schrijft.

Ik denk anders over mijn eigen codebases sinds de Mythos-aankondiging. Niet omdat mijn code bijzonder is — want dat is het niet. Maar omdat het beveiligingsmodel waaronder ik heb gewerkt, het model waaronder de meeste ontwikkelaars werken, zojuist verouderd is geraakt.

Dat model werkt als volgt: je schrijft code, je draait je linter, je gebruikt Dependabot om bekende kwetsbaarheden in afhankelijkheden op te vangen, misschien betaal je voor een statische analysetool zoals Snyk of SonarQube, en als je serieus bent, laat je een keer per jaar een penetratietest doen. Je accepteert een bepaald niveau van resterend risico omdat het vinden van elke kwetsbaarheid theoretisch onmogelijk is.

Mythos heeft zojuist bewezen dat het niet onmogelijk is. Het is een rekenprobleem.

De 16 jaar oude FFmpeg-bug die vijf miljoen geautomatiseerde tests overleefde? Die bestond omdat de testtools de code niet begrepen — ze voerden alleen invoer in en controleerden uitvoer. Mythos begreep de code. Dat is de verschuiving. We bewegen van testen naar begrijpen, en de implicaties stromen door naar elke laag van hoe we over softwarebeveiliging denken.

Wat dit betekent als je een solo-ontwikkelaar bent

Je afhankelijkheden zijn zojuist je grootste aansprakelijkheid geworden. Niet nieuwe afhankelijkheden — degene die je al jaren hebt en waar je niet meer over nadenkt. De volwassen, "beproefde" bibliotheken die iedereen gebruikt omdat ze al eeuwen bestaan. Dat is precies waar Mythos bugs vindt, omdat langdurig gebruik een vals gevoel van veiligheid creëerde.

Het praktische advies: let op patches in de komende 90 dagen. Naarmate Project Glasswing-partners beginnen met het scannen van kritieke open-source infrastructuur, verwacht een golf van beveiligingsupdates voor bibliotheken die je zonder nadenken hebt gebruikt. Werk agressief bij. Wacht niet tot je afhankelijkheidscontrole ze markeert.

Wat dit betekent als je een klein bedrijf runt

Fortune 500-bedrijven hebben al decennia toegang tot toegewijde beveiligingsteams en dure tooling. De rest van ons heeft het gedaan met geautomatiseerde scanners en hoop. De focus van Project Glasswing op open source betekent dat een deel van die Fortune 500-grade controle binnenkort de softwarestack bereikt waarop jij bouwt — gratis.

Maar de kwetsbaarheidsonthullingen zullen snel komen. Als je WordPress, WooCommerce of een andere applicatie draait die is gebouwd op open-source fundamenten, heb je een patchstrategie nodig die in dagen kan reageren, niet in weken. Het venster tussen onthulling en exploitatie staat op het punt dramatisch te krimpen, omdat aanvallers ook hun eigen AI-mogelijkheden bouwen.

Wat dit betekent als je AI-systemen bouwt

Dit is degene die me 's nachts wakker houdt. Als een op codering gericht AI-model per ongeluk cybersecuritycapaciteiten ontwikkelde, wat gebeurt er dan als de volgende generatie modellen nog beter is in code? De capaciteitscurve vertraagt niet. Opus 4.6 naar Mythos vertegenwoordigt een sprong van 13 punten op SWE-bench. Hoe ziet het model na Mythos eruit?

Elk AI-systeem dat ik bouw, elke agent die ik inzet — ik denk nu na over wat er gebeurt als iets met Mythos-niveau capaciteit het onderzoekt op zwakheden. Mijn gids voor het beveiligen van AI-agents behandelde hardware-isolatie, VM-containment en netwerksegmentatie. Die principes houden stand. Maar het dreigingsmodel is zojuist geavanceerder geworden.

De ongemakkelijke vragen die niemand stelt

Ik wil eerlijk zijn tegenover Anthropic hier. Ze hebben dit beter aangepakt dan welk bedrijf dan ook met een dual-use AI-ontdekking. De beperkte release, het partnerprogramma, de financiële toezegging aan verdediging, de transparantietijdlijn — het is een sjabloon dat andere bedrijven zouden moeten volgen.

Maar er zijn vragen die het optimistische kader niet beantwoordt.

Ten eerste: het geest-uit-de-fles-probleem. Anthropic heeft Mythos niet getraind voor cybersecurity. Het vermogen kwam voort uit het trainen van een beter codeermodel. Dat betekent dat elk AI-lab dat de grenzen van codegeneratie verlegt, potentieel hetzelfde vermogen creëert, of ze het nu beseffen of niet. Het volgende model van OpenAI. De volgende Gemini-iteratie van Google. De volgende open-source release van Meta. Als geweldige code schrijven en geweldige exploits vinden twee kanten van dezelfde medaille zijn, dan zal dit vermogen zich verspreiden ongeacht wat Anthropic doet.

Ten tweede: het venster van 12-24 maanden. Onderzoekers die ik volg schatten dat kleinere, open-source modellen binnen 12 tot 24 maanden Mythos-niveau cybersecuritycapaciteiten zullen bereiken. Dat is geen lekprobleem — het is een natuurlijke capaciteitsprogressie. Wanneer dat gebeurt, wordt het model van "beperkte toegang" irrelevant. Je kunt een vermogen dat voortkomt uit algemene training niet afschermen.

Ten derde: de asymmetrievraag. Project Glasswing geeft verdedigers een voorsprong. Maar hoe lang is die voorsprong? Als een goed gefinancierde aanvaller een open-source model finetunet op exploitgegevens en zelfs 70% van Mythos' vermogen bereikt, vernauwt de asymmetrie tussen aanval en verdediging snel. Verdediging vereist het vinden en repareren van elke kwetsbaarheid. Aanval vereist het vinden van één.

Ten vierde: hoe zit het met de kwetsbaarheden die Mythos heeft gevonden maar nog niet zijn onthuld? Anthropic zegt "duizenden zero-day kwetsbaarheden, waarvan vele kritiek" — in "elk groot besturingssysteem en elke grote webbrowser." Dat zijn duizenden ongerepareerde beveiligingsgaten waar Anthropic en zijn partners momenteel op zitten, werkend aan verantwoorde openbaarmaking. Het openbaarmakingsproces kost tijd. Patches kosten tijd. Implementatie kost tijd. Gedurende dat venster bestaan die kwetsbaarheden. Iedereen die ze onafhankelijk ontdekt — mens of AI — zou ze kunnen exploiteren.

Dit zijn geen argumenten tegen wat Anthropic doet. Het zijn argumenten voor urgentie. Het verdedigingsvenster is nu open, en het blijft niet voor altijd open.

Wat er gebeurt als dit doorsijpelt

Het meest interessante langetermijnverhaal gaat niet over Mythos zelf — het gaat over wat er gebeurt als deze mogelijkheden voor iedereen toegankelijk worden. En op basis van de trajectorie van AI-ontwikkeling is dat een kwestie van wanneer, niet of.

Dit is wat ik verwacht in de komende 12 tot 18 maanden:

AI-aangedreven kwetsbaarheidsscanttools worden mainstream. Niet Mythos-niveau, maar betekenisvol beter dan de huidige statische analyse. Bedrijven als Snyk, Veracode en SonarQube bouwen vrijwel zeker nu al AI-gedreven scanfuncties. De lat voor "goed genoeg" beveiligingstooling staat op het punt dramatisch te stijgen.

Het open-source beveiligingsecosysteem krijgt ongekende aandacht. De Linux Foundation, Apache Software Foundation en andere organisaties die Glasswing-financiering en -toegang ontvangen, zullen hun meest kritieke projecten scannen met Mythos-niveau capaciteit. Verwacht een stortvloed aan patches — en een aanzienlijk veiliger open-source fundament als resultaat.

De economie van bug bounties verschuift. Wanneer een AI kwetsbaarheden sneller en uitgebreider kan vinden dan menselijke onderzoekers, verandert de waardepropositie van traditionele bug bounty-programma's. Ik denk niet dat menselijke beveiligingsonderzoekers overbodig worden — context, oordeelsvermogen en creatieve exploitatie blijven van belang — maar het laaghangend fruit dat de rekeningen betaalt voor veel bounty-jagers wordt eerst door machines geplukt.

Nalevingskaders passen zich aan. Als AI-aangedreven kwetsbaarheidsdetectie de zorgstandaard wordt, wordt het niet gebruiken ervan nalatigheid. Het zou me niet verbazen als er binnen 18 maanden bijgewerkte HIPAA-, SOC 2- en PCI-DSS-richtlijnen komen die expliciet AI-ondersteunde beveiligingsscanning als basisverwachting adresseren.

De "shift left"-beweging krijgt een turbo. In plaats van kwetsbaarheden te vinden na implementatie, zullen AI-modellen ze opvangen tijdens codereview — voordat de code ooit de productie bereikt. Stel je een pull request-review voor die niet alleen stijlproblemen en testdekkingshiaten opvangt, maar daadwerkelijke zero-day-klasse kwetsbaarheden in je implementatie. Daar gaat dit naartoe.

Mijn eerlijke mening: tussen ontzag en ongerustheid

Ik bouw al meer dan een jaar met de modellen van Anthropic. Claude Code veranderde hoe ik werk. Opus 4.6 veranderde wat ik dacht dat mogelijk was. Mythos verandert iets fundamentelers — het verandert wat ik denk over de relatie tussen AI-capaciteit en AI-risico.

Anthropic's Responsible Scaling Policy wordt hier serieus getest. Ze identificeerden een vermogen dat echte offensieve risico's met zich meebrengt, kozen beperking boven inkomsten, bouwden een coalitie van verdedigers, zetten aanzienlijke middelen in voor defensief gebruik en stelden transparantietijdlijnen vast. Dat is het draaiboek. Dat is hoe verantwoorde AI-implementatie eruitziet wanneer de inzet echt is.

Maar ik ben ook eerlijk genoeg om toe te geven dat het Mythos-verhaal me zenuwachtiger maakt dan eerdere modelreleases. Niet omdat Anthropic iets verkeerd doet — integendeel. Omdat ze hebben aangetoond dat codeervermogen en hackvermogen op voldoende schaal hetzelfde zijn. En codeervermogen is waar elk AI-lab op aarde aan werkt om te verbeteren.

De verdedigers hebben een voorsprong. Project Glasswing geeft kritieke infrastructuurorganisaties toegang om te scannen en te patchen voordat aanvallers gelijkwaardige tools kunnen bouwen. De $100 miljoen aan kredieten, de $4 miljoen aan open-source donaties, de coalitie van meer dan 40 organisaties — het is substantieel.

Maar voorsprongen hebben een vervaldatum.

De praktische conclusie voor mensen zoals wij — ontwikkelaars, bouwers, mensen die software de wereld in sturen — is eenvoudig. Werk je afhankelijkheden bij. Let op de golf van patches die de komende 90 dagen komt. Neem je beveiligingshouding serieuzer dan gisteren. En begin na te denken over hoe je codebase eruitziet door de ogen van iets dat bugs kan vinden die vijf miljoen geautomatiseerde tests hebben gemist.

Het tijdperk van AI-aangedreven kwetsbaarheidsdetectie is aangebroken. Wat je de komende maanden doet — terwijl de verdedigers nog het voordeel hebben — bepaalt of je beschermd bent wanneer het speelveld gelijk wordt.

Ik zal de Glasswing-onthullingen nauwlettend volgen en schrijven over wat er naar voren komt. Als je voorop wilt blijven, is dit het onderwerp om te volgen.

Veelgestelde vragen

Wat is Claude Mythos en hoe verschilt het van Claude Opus 4.6?

Claude Mythos is Anthropic's niet-uitgebrachte frontier AI-model dat 93,9% scoort op SWE-bench Verified vergeleken met de 80,8% van Opus 4.6. Het is getraind voor uitzonderlijke codegeneratie, wat het opkomende cybersecuritycapaciteiten gaf — met een score van 83,1% op de CyberGym-kwetsbaarheidsbenchmark versus 66,6% voor Opus 4.6. Mythos is niet publiek beschikbaar en is beperkt tot Project Glasswing-partners.

Wat is Project Glasswing?

Project Glasswing is Anthropic's cybersecurity-initiatief dat 12 kernpartners — waaronder AWS, Apple, Microsoft, Google en CrowdStrike — vroege toegang geeft tot Claude Mythos voor defensief beveiligingswerk. Ondersteund door $100 miljoen aan gebruikskrediet en $4 miljoen aan open-source beveiligingsdonaties, richt het programma zich op het vinden en patchen van kwetsbaarheden in kritieke software-infrastructuur. Zie voor meer over AI-beveiligingspraktijken mijn gids voor het beveiligen van AI-agents.

Kan Claude Mythos echt bugs vinden die menselijke beveiligingsonderzoekers missen?

Ja — en het bewijs is specifiek. Mythos ontdekte autonoom een 27 jaar oude remote crash-kwetsbaarheid in OpenBSD's TCP-stack en een 16 jaar oude bug in FFmpeg die vijf miljoen geautomatiseerde tests overleefde. Anthropic meldt duizenden zero-day kwetsbaarheden gevonden in grote besturingssystemen en browsers, waarvan vele als kritiek zijn beoordeeld.

Wordt Claude Mythos beschikbaar voor het publiek?

Anthropic heeft verklaard dat ze niet van plan zijn Mythos Preview algemeen beschikbaar te maken. Het model is beperkt tot Project Glasswing-partners en ongeveer 40 extra organisaties onder gecontroleerde toegang. Anthropic's doel is om waarborgen te ontwikkelen waarmee Mythos-klasse capaciteiten uiteindelijk breder en veiliger kunnen worden ingezet.

Hoe beïnvloedt Claude Mythos alledaagse ontwikkelaars?

Verwacht een aanzienlijke golf van beveiligingspatches voor populaire open-source bibliotheken in de komende 90 dagen naarmate Glasswing-partners kritieke infrastructuur scannen. Werk je afhankelijkheden agressief bij, verscherp je patchcadans en erken dat AI-aangedreven kwetsbaarheidsscanning de nieuwe basislijn wordt voor softwarebeveiliging — geen optionele premiumfunctie.

Laten we samenwerken

Op zoek naar het bouwen van AI-systemen, het automatiseren van workflows of het opschalen van je technische infrastructuur? Ik help je graag.

Coffee cup

Vond u dit artikel leuk?

Uw steun helpt mij meer diepgaande technische content, open-source tools en gratis bronnen voor de ontwikkelaarsgemeenschap te maken.

Coffee cup Koop me een koffie

Gerelateerde onderwerpen

# Anthropic Mythos AI model # Project Glasswing # AI vulnerability detection
Engr Mejba Ahmed

Over de auteur

Engr Mejba Ahmed

Engr. Mejba Ahmed builds AI-powered applications and secure cloud systems for businesses worldwide. With 10+ years shipping production software in Laravel, Python, and AWS, he's helped companies automate workflows, reduce infrastructure costs, and scale without security headaches. He writes about practical AI integration, cloud architecture, and developer productivity.

Website Twitter LinkedIn

Discussion

Comments

0

No comments yet

Be the first to share your thoughts

Leave a Comment

Your email won't be published

2  x  8  =  ?

Blijf leren

Gerelateerde artikelen

Alles bekijken

Comments

Leave a Comment

Comments are moderated before appearing.

Learning Resources

Expand Your Knowledge

Accelerate your growth with structured courses, verified certificates, interactive flashcards, and production-ready AI agent skills.

AI School

Structured courses on AI development, machine learning, and prompt engineering with hands-on lessons.

Browse Courses

Certificates

Earn verified certificates on completion. Share on LinkedIn, verify online, and showcase your skills.

Earn Certificate

Learning Flashcards

Master key concepts with interactive flashcard decks covering programming, DevOps, and system design.

Start Learning

AI Agent Skills

Explore a marketplace of ready-to-use AI agent skills for development, automation, and business workflows.

Explore Skills
Sample Certificate of Completion

Sample certificate — complete any course to earn yours

Engr Mejba Ahmed

Engr Mejba Ahmed

Claude Code Expert · Online

👋

Hey there!

Quick Actions

WhatsApp Instant reply

Chat on WhatsApp

+880 1723 741224 · Instant reply

Popular Questions

Engr Mejba Ahmed is connected
Engr Mejba Ahmed is typing...
Engr Mejba Ahmed avatar

✉ Want me to follow up? Drop your email

Engr Mejba Ahmed avatar

📞 Connect Directly

Choose how you'd like to reach me

WhatsApp

+880 1723 741224

Email

[email protected]

✓ Details sent! I'll get back to you shortly.

Powered by OpenAI

335+

Blog Posts

25

AI Courses

63

Projects

Services & Expertise

Pricing & Process

Learning & Resources

Connect & Support

WhatsApp Engr Mejba

+880 1723 741224

 Contact Form →