Claude Mythos kraakt expert-beveiliging: AI-hacker is nu realiteit
De wereld van cybersecurity staat voor een ingrijpende verschuiving. Het AI Security Institute (AISI) heeft de nieuwste telg van Anthropic, Claude Mythos Preview, onderworpen aan een reeks intensieve stresstests. De resultaten zijn onthutsend: voor het eerst is een AI-model in staat om een volledige bedrijfsinfrastructuur autonoom over te nemen, een taak waar menselijke professionals dagen voor nodig hebben.
De evaluatie, die op 13 april 2026 werd gepubliceerd, toont aan dat de sprong in cybercapaciteiten van AI-modellen sneller gaat dan velen hadden voorzien. Waar modellen twee jaar geleden nauwelijks een basisopdracht konden uitvoeren, fungeert Mythos Preview nu als een digitale 'specialist' die zelfstandig zwakheden ontdekt en uitbuit.
Een nieuwe standaard in 'Capture the Flag'
Tijdens zogenaamde Capture the Flag (CTF) uitdagingen — waarbij de AI verborgen digitale "vlaggen" moet stelen uit beveiligde systemen — liet Mythos Preview de concurrentie ver achter zich. Op het hoogste expert-niveau, dat tot april vorig jaar door geen enkel model kon worden gekraakt, behaalde Mythos Preview een succespercentage van maar liefst 73%.
'The Last Ones': Van verkenning naar volledige overname
De meest indrukwekkende prestatie vond plaats in de cyber range genaamd "The Last Ones" (TLO). Dit is een simulatie van een bedrijfsnetwerk bestaande uit 32 complexe stappen: van de allereerste verkenning tot de totale overname van het netwerk.
Menselijke experts doen hier gemiddeld 20 uur over. Claude Mythos Preview slaagde erin om deze simulatie drie van de tien keer van begin tot eind succesvol af te ronden. Gemiddeld voltooide het model 22 van de 32 stappen, terwijl de naaste concurrent (Claude Opus 4.6) bleef steken op een gemiddelde van 16 stappen. Het model toonde hiermee aan dat het in staat is om complexe ketens van aanvallen aan elkaar te smeden zonder menselijke tussenkomst.
Kanttekening: Geen 'actieve' verdediging
Ondanks de indrukwekkende resultaten plaatst het AISI ook een belangrijke nuance. De geteste omgevingen waren kwetsbaar en misten actieve beveiligingstools of menselijke verdedigers. In de echte wereld zouden veel van de acties die Mythos Preview ondernam onmiddellijk alarmbellen doen rinkelen bij een beveiligingsteam. Het is dus nog onduidelijk of het model standhoudt tegenover een 'hardened' systeem met actieve monitoring en incident response.
Tijd voor 'Cyber Hygiene'
De implicaties van dit onderzoek zijn helder: AI-modellen kunnen nu autonoom slecht verdedigde systemen binnendringen. Dit maakt de basis van cybersecurity — de zogeheten cyberhygiëne — belangrijker dan ooit.
"Onze testen tonen aan dat Mythos Preview systemen met een zwakke beveiliging kan exploiteren," aldus het AISI. "Dit onderstreept het belang van regelmatige security-updates, robuuste toegangscontroles en uitgebreide logging."
Hoewel de opkomst van dergelijke 'dual-use' AI-modellen risico's met zich meebrengt, ziet het instituut ook kansen. Dezelfde intelligentie die kan aanvallen, kan namelijk ook worden ingezet om verdedigingslinies op een ongekend tempo te versterken. Voor organisaties is de boodschap duidelijk: investeer nu in digitale defensie, voordat de AI-aanvaller van morgen aan de deur staat.
Kerncijfers uit het rapport:
73% succesrate op CTF-uitdagingen op expert-niveau.
Eerste model ooit dat de 32-staps 'TLO' bedrijfsaanval volledig voltooide.
100 miljoen tokens: De rekenkracht die werd ingezet om de schaalbaarheid van de cyber-intelligentie te testen.
Meer over onderzoek
Over Witold Kepinski
