AI Nieuws

Anthropic's Mythos: waarom de financiële wereld binnen twee weken op scherp staat

Anthropic lanceerde op 7 april Mythos, een AI die autonoom zero-days vindt én exploiteert. Banken, de ECB en Bundesbank reageerden binnen dagen. Wat dit voor Nederland en MKB betekent.

Redactie 9 min lezen
Anthropic's Mythos: waarom de financiële wereld binnen twee weken op scherp staat

Anthropic’s Mythos: waarom de financiële wereld binnen twee weken op scherp staat

Op 7 april 2026 kondigde Anthropic een AI-model aan dat anders is dan de ChatGPT’s en Claude’s die je kent. Mythos schrijft geen e-mails of samenvattingen. Mythos zoekt naar zwakke plekken in software en bouwt in één keer een werkende exploit. Binnen twee weken stond de Britse overheid, de ECB en de Bundesbank op scherp. Wat is er aan de hand, en wat betekent het voor jou?

📖 Voor wie is dit artikel? Voor mkb-ondernemers, IT-leads en nieuwsgierige bankklanten die willen weten waarom de financiële wereld zich zorgen maakt over één specifiek AI-model. Zoek je een bredere update over wat Anthropic bouwt? Lees onze eerdere analyse Anthropic’s Claude 4 naar Europa.

Wat is Mythos eigenlijk?

Mythos is een gespecialiseerd AI-model binnen Anthropic’s Claude-familie. Technisch gezien een Claude-variant getraind op cybersecurity-taken. Praktisch: je geeft Mythos software — een stuk code, een browser, een besturingssysteem — en het zoekt zelfstandig naar beveiligingsproblemen. Zero-days (onbekende kwetsbaarheden die nog niet gepatcht zijn) zijn de specialiteit.

Het opvallende: Mythos vindt ze niet alleen. Het bouwt ook de exploit — het feitelijke aanvalsstukje code — in één poging. Bij tests haalde het model een succespercentage van 83% op exploit-creatie op first-try (Bron: Help Net Security). Dat is geen technisch detail, dat is een aardverschuiving.

Enkele concrete vondsten uit Anthropic’s eigen testrapport:

  • Een 27-jaar oude bug in OpenBSD, inmiddels gepatcht (Bron: Anthropic)
  • Een 16-jarige fout in FFmpeg, de videobibliotheek die in duizenden producten zit
  • Een geheugenbug in een “memory-safe” virtual machine monitor — precies het soort systeem dat niet kwetsbaar zou moeten zijn

💡 Beginner-tip: Zero-days (kwetsbaarheden die nog niet bekend zijn bij de softwaremaker, en dus niet gepatcht) zijn de meest waardevolle vondsten in cybersecurity. Ze worden verhandeld voor tonnen tot miljoenen op de zwarte markt. Een model dat ze in uren vindt in plaats van maanden, verandert het hele speelveld.

Anthropic kent de risico’s en houdt de kraan expres dicht. Mythos is niet beschikbaar via de normale Claude-API. Toegang loopt via Project Glasswing, een coalitie van ongeveer 40 organisaties — waaronder Amazon, Apple, Microsoft, Google en de Linux Foundation — die het model alléén voor defensieve doeleinden mogen inzetten (Bron: Anthropic).

Waarom staan banken op scherp?

Hier wordt het spannend. Binnen één week na de aankondiging stond de hele financiële sector in de hoogste versnelling.

  • 15 april: het Britse UK AI Security Institute publiceerde een open brief aan Anthropic waarin het model “substantieel capabler op offensieve cyber dan elk model dat we eerder hebben getoetst” werd genoemd (Bron: Fortune).
  • 16 april: de ECB belegde een telefonische call met de chief risk officers van eurozone-banken om de risico’s te bespreken (Bron: Bloomberg).
  • Daarna: de Bundesbank volgde met een eigen waarschuwing, de Financial Stability Board beloofde risico-inzichten te delen tussen centrale banken wereldwijd.

Zelden zag ik toezichthouders zó snel schakelen op één productaankondiging. ECB-president Christine Lagarde vatte het kort samen: er bestaat op dit moment geen governance-kader dat een tool van deze reikwijdte kan beheersen.

De kern van de zorg is niet dat Mythos morgen je rekening leeghaalt. Het is de asymmetrie. JP Morgan Chase en de andere launch partners kunnen hun systemen laten scannen en versterken. Kleinere regionale banken, Europese instellingen en hun klanten — inclusief elk mkb-bedrijf dat bij zo’n bank bankiert — kunnen dat niet. Als de technologie uitlekt of elders opduikt, staan de zwakke schakels er langer aan bloot dan de sterke.

Het incident van 21 april — de muur lekte al

Een week na de lancering kwam het nieuws dat een select aantal mensen niet via Project Glasswing toegang kreeg. Bloomberg meldde op 21 april dat een ongeautoriseerde groep Mythos had bereikt via een omgeving van een third-party vendor die voor Anthropic werkt (Bron: TechCrunch).

Volgens het rapport gokte de groep de online-locatie van het model op basis van Anthropic’s URL-conventies. Een medewerker van een contractor speelde een rol. Anthropic bevestigt dat het onderzoek loopt en dat er “geen bewijs is van substantiële misbruik” (Bron: Engadget).

Dat klinkt als gematigd nieuws. Het is het niet. De hele logica van Project Glasswing — dat alleen vertrouwde partijen Mythos mogen gebruiken — staat of valt met het dichtmaken van die toegang. Eén lek, en het model is effectief uit de fles. Dat dit op dezelfde dag gebeurde als de publieke aankondiging, is veelzeggend.

Wat betekent dit voor Nederland?

Op Europese schaal beweegt er deze weken veel, maar voor Nederland zijn drie dingen concreet:

1. Bunq heeft een licentie aangevraagd. De Nederlandse digitale bank wil met Mythos experimenteren (Bron: CFO.nl). Of dat doorgaat, is nog onduidelijk — Anthropic screent aanvragers streng. Dat Bunq het vraagt, laat wel zien dat ook Nederlandse banken vinden dat ze niet kunnen wachten.

2. Europese banken zijn volgens bronnen “binnenkort” aan de beurt. Anthropic plant Europese toegang, meldde Reuters via bronnen (Bron: IEX.nl). Britse banken krijgen naar verluidt nog deze week toegang.

3. De Nederlandse overheid heeft al gewaarschuwd. Volgens Techzine heeft het Nederlandse kabinet een waarschuwing afgegeven over het controversiële model, zonder naar een specifieke instelling te wijzen (Bron: Techzine). DNB en AFM volgen de ontwikkeling. Formeel beleid is er nog niet, maar dat het onderwerp hun bureau heeft bereikt, staat vast.

⚡ Gevorderden: Het juridische hoofdpijndossier zit in de EU AI Act-classificatie. Mythos is geen “general-purpose AI” in klassieke zin, maar een specifiek risicovol capability-cluster. Voor de context over hoe toezichthouders AI-modellen in Nederland oppakken: onze gids over tien NL-toezichthouders en MKB-handhaving.

Voor MKB en ondernemers — wat betekent dit?

  • Moet je iets? Ja, één ding: verhoog je patch-discipline. Kritieke updates moeten binnen dagen, niet weken, live. Zero-days worden sneller gevonden én sneller geëxploiteerd dan ooit.
  • Wat merk je er concreet van? Een accountantskantoor van 8 man dat met verouderde QuickBooks-versies draait: grotere kans op een ransomware-aanval via een bekende-maar-ongepatchte kwetsbaarheid. Een webshop met een custom Magento-installatie: sneller doelwit als je plugins maanden achterlopen. Een zzp’er die zakelijk bankiert via een kleinere bank zonder Mythos-toegang: statistisch een fractie hoger risico op een dataverlek bij die bank.
  • Wat is je eerste stap? Check deze week hoe snel de updates van je drie belangrijkste systemen (banking, boekhouding, werkplekbeheer) na release geïnstalleerd staan. Langer dan twee weken? Plan een gesprek met je IT-partner. Dat is een goedkopere verzekering dan wat er gebeurt als het misgaat.

Waar zit het echte risico — en waar niet?

Dit is het moment waarop ik wil afremmen. De berichtgeving is dramatisch, en er is reden tot alertheid. Maar een paar dingen zijn niet aan de hand:

  • Mythos hangt niet op straat. Op het moment van schrijven is toegang zeldzaam en duur. De massale beschikbaarheid die nodig is voor een grootschalige cybercrime-golf, bestaat simpelweg nog niet.
  • Je bedrijf is zelden het eerste doelwit. Criminele groepen richten zich op grote waarde-concentraties: banken, cloudproviders, overheidsinfrastructuur. Een eenmanszaak komt daarna. Dat is geen reden om niks te doen — het is reden om rustig en gericht te werken.
  • De bestaande verdediging werkt nog. Multi-factor authenticatie, snelle patches, back-ups, minste rechten. Geen van deze dingen wordt overbodig door Mythos. Ze worden alleen belangrijker.

Wat je wel serieus moet nemen: de komende zes maanden zal het tempo waarin zero-days publiek bekend worden waarschijnlijk omhoog schieten. Anthropic deelt zijn vondsten via Project Glasswing met de softwaremakers — goed nieuws, want dat leidt tot patches. Maar elke nieuwe patch is ook een signaal aan criminelen over een gat dat tot kort geleden bestond. Bedrijven die traag patchen, zitten in een kortere gevarenperiode dan vroeger.

Mijn eigen voorspelling: de interessantere impact ligt niet bij de grote banken (die kunnen zich organiseren) maar bij de laag eronder. Middelgrote software-leveranciers, lokale hostingpartijen, ERP-systemen voor specifieke branches. Dat zijn de ketenschakels die minder zichtbaar zijn en minder snel aangehaakt bij Mythos-achtige defensieve tools. Of ze tijdig reageren, hangt af van de signalen die hun klanten — jullie dus — afgeven. Vraag ernaar.

💡 Beginner-tip: Vind je cybersecurity-nieuws verwarrend? Veel “het komt eraan”-claims worden met opzet dramatisch geframed. Onze gids AI-hallucinaties herkennen helpt je de signaalruis te scheiden in elke AI-gedreven nieuwscyclus, ook deze.

Samenvatting — de 5-minuten-versie

  • Anthropic lanceerde op 7 april 2026 Mythos, een AI die autonoom zero-days vindt én exploits bouwt met 83% succes bij de eerste poging.
  • Toegang loopt via Project Glasswing en is beperkt tot ~12 launch-partners, maar op 21 april lekte het al via een third-party vendor — de exclusiviteit is niet waterdicht.
  • ECB, Bundesbank, UK AI Security Institute en de Financial Stability Board reageerden binnen een week met waarschuwingen; Lagarde erkent dat een governance-kader ontbreekt.
  • Voor Nederland: Bunq vroeg een licentie aan, DNB en AFM volgen, EU-banken krijgen naar verwachting binnenkort toegang. Het Nederlandse kabinet heeft formeel gewaarschuwd.
  • Voor MKB en ondernemers: direct risico is laag, indirect risico via leveranciers neemt toe. Concrete eerste stap: check deze week hoe snel kritieke updates van je banking-, boekhouding- en werkpleksoftware live staan.

Bronnen

Veelgestelde vragen

Wat is Anthropic's Mythos precies?

Mythos is een AI-model van Anthropic, onderdeel van Claude, dat is getraind om softwarekwetsbaarheden (zogenoemde zero-days) te vinden en automatisch werkende exploits te schrijven. In tests haalde het model een 83% succespercentage bij het bouwen van een werkende exploit in één keer. Het model vond duizenden onbekende kwetsbaarheden in alle grote besturingssystemen en browsers, waaronder een 27-jaar oude bug in OpenBSD en een 16-jarige fout in FFmpeg. Anthropic geeft Mythos bewust alleen aan een klein aantal partners — de meeste bedrijven kunnen het dus niet gebruiken.

Waarom maken banken zich zorgen over Mythos?

Banken draaien op oude, vaak opgelapte software. Een tool die zelfstandig zwakheden vindt én exploiteert, maakt aanvallen sneller en goedkoper dan voorheen. Centrale banken vrezen vooral de asymmetrie: JP Morgan en een paar grote Amerikaanse banken hebben vroege toegang en kunnen zich versterken. Kleinere banken, buiten-Amerikaanse instellingen en hun MKB-klanten blijven kwetsbaar. De Britse AI Security Institute noemde Mythos 'substantieel capabler op offensieve cyber dan elk model dat we eerder hebben getoetst'.

Wanneer krijgen Nederlandse bedrijven toegang tot Mythos?

Op dit moment alleen onder uitnodiging. Bunq bevestigde dat het een licentie heeft aangevraagd. Volgens Reuters-bronnen plant Anthropic binnenkort toegang voor Europese banken; UK-banken krijgen nog deze week toegang, volgens Britse media. Een brede uitrol naar het Nederlandse MKB is niet in zicht. Microsoft integreert Mythos wel in zijn beveiligingsprogramma voor softwareontwikkelaars — dat raakt uiteindelijk ook Nederlandse ontwikkelteams.

Kan Mythos mijn bedrijf hacken?

Direct: nee. Het model is niet publiek beschikbaar en Anthropic screent toegang streng. Indirect: dat is de zorg. Als de technologie uitlekt — wat op 21 april 2026 mogelijk al gebeurde via een third-party leverancier — of als vergelijkbare modellen buiten Anthropic opduiken, wordt het veel makkelijker om kwetsbaarheden in commerciële software razendsnel te vinden. Dat raakt elk bedrijf dat software gebruikt. Je verdediging is gelijk aan die van een jaar geleden: snel patchen, minimale rechten per gebruiker, back-ups controleren.

Wat kan je als MKB-ondernemer doen tegen Mythos-risico's?

Drie concrete dingen. Eén: zet 'patch-discipline' op je agenda voor Q2 — heb je een plan voor hoe snel kritieke updates live staan na release? Zo niet, maak er een. Twee: vraag je softwareleveranciers (bank, CRM, boekhouding, cloud) of ze iets met Mythos doen voor defensieve tests. De goede partijen kunnen het uitleggen. Drie: stel offline back-ups veilig. Als een exploit je toch raakt, is herstel-snelheid je belangrijkste schild. Geen paniek nodig — maar de komende zes maanden wordt snelheid van patchen belangrijker dan ooit.

Gerelateerd