Net als voorgaande modellen is Claude Mythos in staat om softwarecode te genereren én te analyseren op kwetsbaarheden, maar volgens Anthropic presteert het op dat laatste significant beter dan eerdere modellen. In de praktijk werkt Claude Mythos (of feitelijk Glasswing) door grote hoeveelheden broncode en systeemgedrag te doorlopen, patronen te herkennen die afwijken van veilige programmeerpraktijken en vervolgens mogelijke zwakke plekken te identificeren. Daarbij combineert het model taalbegrip, voor het interpreteren van code en documentatie, met patroonherkenning, voor het signaleren van fouten die eerder tot kwetsbaarheden hebben geleid.

Volgens Anthropic heeft Claude Mythos in korte tijd duizenden kritieke kwetsbaarheden gevonden in veelgebruikte systemen zoals besturingssystemen en webbrowsers. Dit betekent volgens deskundigen een enorme versnelling van bestaande technieken zoals vulnerability scanning en fuzzing, waarbij software automatisch wordt getest op fouten. Daarbij moet wel worden opgemerkt dat er een verschil is tussen het vinden van kwetsbaarheden en het daadwerkelijk misbruiken ervan. Dat laatste vereist vaak aanvullende stappen, context en expertise, waarbij factoren zoals toegang tot systemen, schaalbaarheid van aanvallen en benodigde kennis een belangrijke rol spelen.

De media reageerden wisselend, maar vooral met veel hype én zorgen: het lijkt een heel krachtig AI-model, maar mensen maken zich ook druk over misbruik en veiligheid. Tegelijkertijd twijfelen sommige journalisten en experts of alle claims wel zo indrukwekkend zijn als ze klinken.

Sommige analyses benadrukken dat deze ontwikkeling het risico vergroot dat cyberaanvallen toegankelijker worden voor een bredere groep actoren. Het idee is dat wat eerder voorbehouden was aan gespecialiseerde teams, in de toekomst met minder middelen uitgevoerd kan worden. Als voorbeeld wordt genoemd dat kritieke infrastructuur, zoals energievoorziening of communicatienetwerken, kwetsbaarder kan worden als dergelijke tools breed beschikbaar komen.

Andere analyses plaatsen kanttekeningen bij deze interpretatie. Zij wijzen erop dat de gepresenteerde cijfers en claims voornamelijk afkomstig zijn van het bedrijf zelf en nog niet onafhankelijk zijn bevestigd. Ook benadrukken zij dat de effectiviteit van dergelijke modellen in de praktijk afhankelijk is van factoren zoals toegang tot systemen, kwaliteit van data en de complexiteit van exploitatie. Vanuit dit perspectief is de ontwikkeling relevant, maar niet automatisch een fundamentele breuk met bestaande cybersecuritypraktijken.

Daarnaast lijkt de manier waarop deze technologie is gepresenteerd ook op een PR-campagne. Het benadrukken van risico’s en het beperken van toegang kan worden gezien als een strategie om zowel urgentie te creëren als invloed uit te oefenen op beleidsvorming en marktpositie.

De belangrijkste conclusie is dat Claude Mythos een duidelijke stap vooruit betekent in het automatisch analyseren van software, doordat het sneller en op grotere schaal kwetsbaarheden kan signaleren dan traditionele methoden. Tegelijkertijd blijft de impact afhankelijk van de vraag in hoeverre deze bevindingen kunnen worden omgezet in daadwerkelijke aanvallen en hoe snel systemen worden aangepast. De risico’s hangen af van verspreiding, gebruik en tegenmaatregelen, terwijl perceptie en communicatie mede bepalen hoe urgent het probleem wordt geacht. Investeren in het verbeteren van bestaande beveiligingsprocessen, zoals het tijdig patchen van systemen, blijft essentieel.

Tot slot vragen dit soort ontwikkelingen altijd om reflectie en vooral om het hoofd koel te houden. Laat je dus niet gek maken door de media!

Bronnen

• Anthropic. (2026). Preparing your security program for AI-accelerated offense.
• Friedman, T. L. (2026, 7 april). Anthropic’s restraint is a terrifying warning sign. The New York Times.
• HackerNoon. (2026). Is Mythos really the internet’s greatest cybersecurity risk or just Anthropic’s product launch?
• Tweakers. (2026). Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden.