Anthropic Project Glasswing biedt verdedigingslinie voor de AI-era

De schokgolf: Claude Mythos Preview

Het startpunt van Project Glasswing is de "Claude Mythos Preview", een nog niet publiekelijk uitgebracht model van Anthropic. De resultaten van de eerste tests zijn onthutsend. Waar menselijke hackers en geautomatiseerde scanners jarenlang overheen hebben gekeken, vond Mythos binnen enkele weken duizenden kritieke kwetsbaarheden (zero-days) in nagenoeg elk groot besturingssysteem en elke bekende webbrowser.

De kracht van Mythos ligt in zijn 'agentic' vermogen: het model kan niet alleen code lezen, maar ook zelfstandig redeneren, kwetsbaarheden opsporen en direct complexe exploits (aanvalsmethoden) ontwikkelen.

Oude lekken in 'onkwetsbare' systemen

Anthropic deelde enkele schokkende voorbeelden van wat Mythos autonoom ontdekte:

• OpenBSD: In dit systeem, dat bekendstaat als een van de meest beveiligde ter wereld, vond de AI een lek van 27 jaar oud. Hiermee kon een aanvaller op afstand machines laten crashen.
• FFmpeg: Een kwetsbaarheid van 16 jaar oud werd gevonden in code die al vijf miljoen keer door automatische testtools was gecontroleerd zonder resultaat.
• Linux-kernel: Mythos wist verschillende kleine lekken zelfstandig aan elkaar te schakelen ('chaining') om volledige controle over een server te krijgen.

Een verdedigingslinie van 100 miljoen dollar

"De grens waarbij cybersecurity niet langer afhankelijk is van louter menselijke capaciteit is overschreden," aldus Igor Tsyganskiy van Microsoft. Om te voorkomen dat de balans doorslaat naar aanvallers, zet Project Glasswing vol in op de verdediging.

Anthropic stelt 100 miljoen dollar aan gebruikstegoeden voor Mythos Preview beschikbaar voor de partners. Daarnaast wordt er 4 miljoen dollar gedoneerd aan open-source beveiligingsorganisaties zoals de Apache Software Foundation en OpenSSF. Het doel is om de 'AI-fabrieken' van de toekomst direct vanaf de start te beveiligen.

Deelnemende zwaargewichten:

• Cloud & Infra: AWS, Google Cloud, Microsoft.
• Hardware & Chips: NVIDIA, Broadcom, Apple.
• Cybersecurity: CrowdStrike, Palo Alto Networks, Cisco.
• Financieel & Open Source: JPMorganChase, Linux Foundation.

De nieuwe realiteit: 'Seconds, not months'

Volgens Elia Zaitsev, CTO van CrowdStrike, is de tijdspanne tussen de ontdekking van een lek en de exploitatie ervan door AI ingestort van maanden naar minuten. "Dat is geen reden om te vertragen, maar om sneller samen te bewegen," stelt hij.

Project Glasswing is niet alleen bedoeld om gaten te dichten, maar ook om nieuwe standaarden te zetten voor de 'AI-era'. Dit omvat:

1. Automatisering van patching: AI die niet alleen het lek vindt, maar ook direct de reparatiecode schrijft.
2. Secure-by-Design: Software die wordt ontwikkeld met AI-begeleiding om fouten aan de bron te voorkomen.
3. Open-source steun: Het beveiligen van de miljoenen regels code die de basis vormen van bijna alle moderne systemen, maar vaak door vrijwilligers worden beheerd.

Toekomst en Veiligheid

Anthropic heeft besloten om Claude Mythos Preview niet algemeen beschikbaar te maken voor het grote publiek. Het risico op misbruik is simpelweg te groot. Het bedrijf werkt aan nieuwe waarborgen die gevaarlijke output van dergelijke modellen kunnen detecteren en blokkeren.

Project Glasswing markeert een historisch moment in de technologische geschiedenis. Voor het eerst werken felle concurrenten op deze schaal samen omdat de gedeelde dreiging — een AI die sneller hackt dan de mens kan patchen — groter is dan hun commerciële rivaliteit. Zoals Jim Zemlin van de Linux Foundation het verwoordt: "AI-gebaseerde beveiliging moet de trouwe sidekick worden van elke beheerder, niet alleen van degenen die dure beveiligingsteams kunnen betalen."

De vlinderslag van de Glasswing (zie kader) heeft een storm veroorzaakt in de tech-wereld. De race tussen cyber-verdedigers en AI-gestuurde aanvallers is nu officieel begonnen.

Waarom de naam 'Glasswing'?

Het project is vernoemd naar de glasvleugelvlinder (Greta oto). De metafoor is tweeledig: de transparante vleugels laten de vlinder zich in het volle zicht verbergen (net als softwarelekken), maar bieden ook bescherming door onzichtbaarheid. Het staat symbool voor de transparantie die nodig is in de sector om gezamenlijk veilig te blijven.