Mythos: geen grote verrassing, wél een wake-up call

De buzz rond Mythos is groot. Terecht ook. Een AI-model dat zelfstandig kwetsbaarheden in software vindt én er meteen exploitcode voor schrijft, spreekt tot de verbeelding.

De kern van het verhaal is eigenlijk vrij eenvoudig: AI, en Mythos, verkleinen het tijdsvenster tussen het ontdekken van een kwetsbaarheid en het effectief misbruiken ervan. Vroeger hadden organisaties dagen of weken, maar nu spreken we maar van enkele uren of minder om te reageren.

Maar het is belangrijk om dit juist te kaderen. Voor wie cybersecurity van dichtbij volgt, is dit geen plotse revolutie. Het is vooral een versnelling van iets dat al langer bezig is.

Wat is Mythos precies?

Mythos is een zogenaamd frontier AI model van Anthropic. Het model kan autonoom kwetsbaarheden in software opsporen en er meteen werkende exploits voor genereren, vaak met weinig of zelfs geen menselijke tussenkomst.

Maar daar stopt het niet. Het model kan ook zogenaamde zero days ontdekken, kwetsbaarheden die nog niet eerder gevonden werden, en daar onmiddellijk exploitcode voor bouwen. Bovendien kan het verschillende stappen binnen een cyberaanval autonoom combineren en uitvoeren.

En net dat maakt het zo relevant: de snelheid. Waar het vroeger veel expertise, tijd en manueel werk vroeg om kwetsbaarheden te vinden en uit te buiten, kan AI dat proces vandaag sterk versnellen.

Dit speelt al langer binnen cybersecurity

Belangrijk om te begrijpen: Mythos staat niet op zichzelf. Binnen het cybersecuritydomein wordt al langer gerapporteerd over de offensieve mogelijkheden van geavanceerde AI-modellen.

Zo publiceert het Britse National Cyber Security Centre al geruime tijd analyses over de offensieve cybercapaciteiten van frontier AI-modellen. Ook OpenAI en Anthropic rapporteerden eerder al over het gebruik van hun modellen binnen offensieve cyberactiviteiten.

Tijdens RSA Conference, ‘s werelds grootste cybersecuritybeurs in San Francisco, waar Cegeka jaarlijks aanwezig is, kwam dit onderwerp uitgebreid aan bod. In verschillende sessies rond AI en AI Security werd getoond hoe krachtig de huidige generatie AI-modellen vandaag al zijn in het opsporen van kwetsbaarheden, inclusief zero days.

Mythos krijgt nu veel aandacht, maar het zal zeker niet het enige model zijn en blijven. Soortgelijke frontier AI-modellen volgen snel. OpenAI experimenteert intussen bijvoorbeeld al met GPT-5.5-Cyber, dat gelijkaardige resultaten laat zien.

Geen crisis of paniek, wel bevestiging

Sinds het nieuws rond Mythos krijgen we veel vragen van organisaties. Wat betekent dit concreet? Zijn bedrijven hier wel klaar voor?

Belangrijk om te benadrukken: ook vóór AI werden organisaties al slachtoffer van hackers die kwetsbaarheden in software misbruikten. Denk maar aan de impact van Log4Shell in 2021, waardoor zero-dayaanvallen plots heel tastbaar werden voor veel bedrijven.

De uitdaging zit bovendien vaak niet in het bestaan van kwetsbaarheden zelf, maar in hoe organisaties ermee omgaan. Worden kwetsbaarheden snel genoeg opgespoord? Zijn patchprocessen voldoende volwassen? Is er voldoende zicht op systemen en configuraties?

En precies daar verhoogt AI vandaag de druk. Want in een wereld waar AI het opsporen van kwetsbaarheden versnelt, zullen organisaties sneller moeten reageren. Sneller patchen. Sneller mitigeren. Sneller detecteren.

Het risico van AI-gedreven aanvallen mogen we dus absoluut niet minimaliseren. Niet omdat AI plots nieuwe kwetsbaarheden ontdekt, maar omdat de kans dat kwetsbaarheden sneller gevonden én misbruikt worden fors stijgt.

Het echte verschil zit in snelheid en schaal

De kern van het verhaal is eigenlijk vrij eenvoudig: AI verkleint het tijdsvenster tussen het ontdekken van een kwetsbaarheid en het effectief misbruiken ervan. Dat zogenaamde ‘breach window’ wordt steeds kleiner.

Waar organisaties vroeger soms nog dagen of weken hadden om te reageren, spreken we nu potentieel over uren. Daardoor verkleint ook het tijdsvenster waarbinnen securityteams moeten handelen.

Die evolutie is trouwens niet volledig nieuw. Ook oudere AI-modellen vonden al kwetsbaarheden. Alleen waren toegankelijkheid en kostprijs tot voor kort nog een belangrijke drempel.

Vandaag wordt vaak gezegd dat AI-gedreven aanvallen op grote schaal nog duur zijn door het hoge aantal tokens en rekenkracht dat nodig is. En dat klopt voorlopig ook.

Maar die rem zal niet lang blijven bestaan. Naarmate AI sneller, goedkoper en toegankelijker wordt, mogen we verwachten dat ook AI-gedreven aanvallen op grotere schaal snel realiteit zullen worden.

En schaal zit niet alleen in de tooling zelf. AI verlaagt ook de drempel voor cybercriminelen. Wat vroeger vooral expertise vereiste van zeer ervaren hackers, wordt vandaag toegankelijker voor minder bedreven aanvallers dankzij AI.

Wat moeten organisaties vandaag doen?

Veel organisaties zoeken complexe antwoorden op AI-gedreven dreigingen. Maar eigenlijk begint het nog altijd bij dezelfde basis. Alleen worden die cyberfundamenten vandaag belangrijker dan ooit. Ze worden eigenlijk een noodzaak.

1. Ken je omgeving

Je kan onmogelijk beschermen wat je niet kent. Toch zien we nog vaak dat organisaties onvoldoende zicht hebben op hun assets, kwetsbaarheden of foutieve configuraties. En net die blinde vlekken zetten de deur open voor aanvallers. 

Brede vulnerability scanning en security testing zijn daarom cruciaal. AI-enabled security testing geeft organisaties bovendien de mogelijkheid om met gelijkaardige middelen naar hun eigen omgeving te kijken. 

Want uiteindelijk geldt één simpele regel: degene die het meeste weet over je omgeving, heeft een duidelijke voorsprong.

2. Patch sneller dan ooit

Sterk patchbeheer wordt essentieel. Wanneer AI kwetsbaarheden sneller kan vinden en misbruiken, moeten organisaties patches sneller kunnen uitrollen zodra die beschikbaar zijn. De ruimte om weken te wachten verdwijnt stilaan volledig. Dit geldt eveneens voor configuratie wijzigingen en het doorvoeren van compenserende maatregelen wanneer patching (nog) niet mogelijk is. 

3. Beperk toegang strikt en segmenteer je omgeving 

Sterke toegangscontrole blijft één van de belangrijkste verdedigingsmechanismen. Systemen en gebruikers mogen alleen toegang krijgen tot wat noodzakelijk is om hun taken uit te voeren. Zeker voor geprivilegieerde accounts moet die controle bijzonder streng zijn. Ook basismaatregelen als Multi-Factor Authenticatie moeten nu een prioriteit zijn.  Zero Trust wordt dus steeds meer het uitgangspunt. 

Op infrastructuur niveau is het segmenteren van je omgeving een must geworden. Op die manier ga je eventuele risico’s en problemen beperken tot bepaalde delen van je omgeving. Maar ook monitoring en het detecteren van security incidenten wordt hierdoor een stuk eenvoudiger. 

4. Monitor continu 

Hoe sneller je een aanval detecteert en erop reageert, hoe groter de kans dat je schade beperkt. 

Continue monitoring via een 24/7 SOC is daarom essentieel geworden. Binnen het Cegeka Modern SOC zetten we AI in om sneller dreigingen te detecteren en te reageren. SOC-analisten worden door AI ook beter ondersteund met context, inzichten en automatisering. 

AI wordt dus niet alleen een hulpmiddel voor aanvallers, maar ook essentieel voor securityteams. 

5. Zorg dat je snel kan herstellen

Tot slot wordt ook het herstel na een cyberincident steeds belangrijker. De vraag is vandaag niet meer óf organisaties ooit geraakt worden, maar hoe snel ze kunnen reageren en opnieuw operationeel kunnen zijn wanneer het gebeurt. Een goed uitgewerkt recoveryscenario en een effectieve cyberrecovery oplossing is daarom geen luxe meer, maar pure noodzaak.

De echte wake-up call

Mythos verandert de regels van cybersecurity niet fundamenteel. Maar het versnelt het spel wel drastisch. Dat is de echte wake-up call van dit verhaal.

Kwetsbaarheden zullen altijd bestaan. Het verschil is dat AI ze vandaag sneller vindt, sneller analyseert en sneller helpt uitbuiten. Voor organisaties betekent dat vooral één ding: cybersecurityfundamenten moeten écht op orde zijn. Niet morgen. Vandaag.

Want organisaties die vandaag niet investeren in sterke cyber foundations, zullen morgen moeite hebben om het tempo bij te houden.