Anthropic's Mythos Preview bouwde autonoom 8 werkende exploits uit 18 recente Firefox patches en 8 volledige SYSTEM niveau exploitketens uit 21 Windows kernelpatches, met de eerste Windows exploit al na 31 minuten. De kosten per succesvolle exploit campagne daalden tot onder de $50, en een volledige scan van een bes...

Create a landscape editorial hero image for this Studio Global article: According to a March 2026 Axios report on Anthropic's Mythos Preview AI, what did the company's frontier red team find when they tested the. Article summary: **Note:** The Axios report in question was published **June 8, 2026**, not March 2026. The earlier Axios stories were in April (announcement) and March (Claude Opus bug-hunting). Below is the full breakdown based on the . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Anthropic has said Mythos Preview has found thousands of high-severity vulnerabilities, including some in every major operating system and web" source context "Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models | CSO Online" Reference image 2: visual subject "Anthropic has said
In juni 2026 onthulde het frontier red team van Anthropic een verontrustende nieuwe vaardigheid van zijn afgeschermde Claude Mythos Preview-model: het vermogen om openbaar gemaakte softwarepatches te lezen en daar in enkele minuten autonoom werkende exploits van te maken. De bevindingen, exclusief gedeeld met Axios, testten Mythos tegen N-day-kwetsbaarheden — lekken die door softwareleveranciers al waren gedicht, maar binnen de meeste organisaties nog openstonden. De resultaten braken niet alleen bestaande tijdlijnen; ze elimineerden ze praktisch .
Het red team van Anthropic voerde Mythos 18 recent gepubliceerde Firefox-beveiligingspatches en 21 Windows-kernelpatches — allemaal uitgebracht na de trainingsafsluitdatum van het model — en gaf het de opdracht werkende exploits te bouwen. Binnen de Firefox-set produceerde Mythos autonoom 8 werkende code-execution exploits, zonder menselijke tussenkomst. Voor de Windows-kernel, waar geen broncode beschikbaar is, genereerde het 8 volledige exploitketens die een gebruiker met lage rechten naar volledige SYSTEM-controle brachten .
De snelheid was de echte kop: Mythos produceerde zijn eerste Windows-proof-of-concept-exploit in 31 minuten en creëerde uiteindelijk acht unieke exploits in ongeveer 12 uur . Om dat in perspectief te plaatsen: het mediane patch-venster voor bedrijven is ongeveer 70 dagen, onveranderd sinds 2022, terwijl Mythos het wapeniseringsproces terugbracht tot minder dan een uur. Deze mismatch creëert wat analisten een structurele 'patch gap' noemen: verdedigers kunnen patches fysiek niet sneller installeren dan dat AI-gegenereerde exploits kunnen worden ingezet
.
De bredere implicatie is dat het traditionele N-day-venster — de weken of maanden die verdedigers hadden tussen de release van een patch en de beschikbaarheid van een exploit — effectief is ingestort .
In een aparte, maar gerelateerde evaluatie, activeerde Mythos 13 van de 14 Windows-bugs die Microsoft had geclassificeerd als 'onwaarschijnlijk te exploiteren', en wist bij één daarvan volledige systeemcontrole te verkrijgen . Microsofts 'lage exploitatiekans'-classificatie dekt momenteel 80 tot 90% van zelfs de meest kritieke bugs, wat betekent dat de set kwetsbaarheden die beveiligingsteams als urgent behandelen, mogelijk met een factor 5 moet worden uitgebreid
. Het beoordelingssysteem, ontworpen voor een wereld waarin de ontwikkeling van exploits weken van deskundig menselijk werk kostte, onderschat nu de dreiging van autonome AI die hetzelfde werk in minuten kan doen.
Een van de meest ongemakkelijke cijfers in de onthullingen van Anthropic zijn de kosten. Individuele zero-day-ontdekkingsruns kostten minder dan $50 per succesvolle poging. Een volledige scancampagne van OpenBSD — duizenden runs — kostte ongeveer $20.000 en bracht meerdere kritieke kwetsbaarheden aan het licht, waaronder een 27 jaar oude bug in de TCP-stack van OpenBSD . Linux-kernel N-day-rootexploits werden gebouwd voor minder dan $2.000 per stuk
. De totale campagne van het Anthropic red team bleef ruim onder de $20.000 voor volledige codebase-scans
.
Dit zijn geen budgetten van natiestaten. Dit zijn budgetten voor individuele ontwikkelaars of kleine teams, wat betekent dat de drempel voor geavanceerde ontdekking van kwetsbaarheden en exploit-ontwikkeling dramatisch is verlaagd, precies op het moment dat de AI-capaciteiten sterk zijn gestegen .
Anthropic onthulde Claude Mythos Preview op 7–8 april 2026 en beschreef het als een frontier-model dat autonoom zero-day-kwetsbaarheden ontdekte en exploiteerde in elk groot besturingssysteem en elke grote webbrowser, waarbij het duizenden ernstige bugs vond, inclusief fouten die decennia van deskundige beoordeling hadden overleefd . Vanwege het extreme risico op misbruik heeft Anthropic Mythos niet publiekelijk vrijgegeven. In plaats daarvan creëerde het Project Glasswing, een gecontroleerd cybersecurity-initiatief dat aanvankelijk beperkt was tot ongeveer 50 partnerorganisaties, waaronder AWS, Apple, Cisco, Google, Microsoft, JPMorgan en de Linux Foundation
.
Vanaf juni 2026 breidt Glasswing zich uit naar ongeveer 150 organisaties in meer dan 15 landen, waaronder nationale veiligheidsdiensten in Australië, het VK en verschillende EU- en Aziatische landen . Partners krijgen een exclusief patch-venster van 90 dagen voordat bevindingen openbaar worden gemaakt
. Eind mei 2026 had Mythos meer dan 10.000 kwetsbaarheden met hoge of kritieke ernst gevonden in systeemkritische software
.
Alleen al de samenwerking van Mozilla met Anthropic resulteerde in 271 gevonden en verholpen zero-day-kwetsbaarheden in Firefox 150 — de grootste batch beveiligingsfixes in de geschiedenis van de browser .
Industrierespons: Cisco sloot zich aan bij het oorspronkelijke Glasswing-partnercohort, samen met andere grote technologie- en cybersecuritybedrijven, en kreeg vroege toegang tot Mythos voor defensieve ontdekking van kwetsbaarheden in de eigen en open-sourcesoftware . Mozilla's interne partnerschap met Anthropic dateerde van vóór de volledige Mythos-uitrol, en de resultaten — 271 gedichte zero-days — toonden het defensieve potentieel bij verantwoord gebruik
.
De Trump-regering: De beleidsreactie was turbulent. In april 2026 leidde National Cyber Director Sean Cairncross de contacten met agentschappen, maar bezuinigingen op CISA en interne politieke strijd bemoeilijkten de coördinatie . Op 21 mei schrapte Trump een gepland uitvoerend bevel dat AI-labs zou hebben verplicht om frontier-modellen 90 dagen voor publieke release ter beoordeling aan de overheid voor te leggen. Hij vertelde verslaggevers dat hij niets wilde dat Amerika's voorsprong op China zou vertragen
.
Minder dan twee weken later, op 3 juni, ondertekende Trump een herzien uitvoerend bevel over AI-innovatie en cybersecurity dat een vrijwillig 30-dagen beoordelingskader voor nieuwe frontier-modellen creëerde — lichter dan het verworpen 90-dagen mandaat, maar toch een erkenning dat de status-quo ontoereikend was .
Ondertussen haastten overheidsinstanties, waaronder het Ministerie van Financiën, de Federal Reserve en het Office of Management and Budget, zich om toegang tot Mythos te krijgen na de waarschuwingen van april, waarbij Financiën noodbriefings ontving ondanks een eerdere Trump-opdracht om het gebruik van Anthropic-technologie te staken .
Het Congres: OpenAI en Anthropic hielden besloten briefings met de House Homeland Security-commissie over AI-aangedreven cyberdreigingen, wat een van de eerste toegewijde AI-cybersecurity-dreigingsbriefings voor congresmedewerkers markeerde .
De kernimplicatie is duidelijk: het tijdperk waarin een patch-release verdedigers weken ademruimte gaf, is voorbij, tenminste tegen tegenstanders met toegang tot frontier-AI. De asymmetrie is schril — bedrijven doen er nog steeds ongeveer 70 dagen over om te patchen, terwijl AI dezelfde lekken in minder dan een uur kan bewapenen. Organisaties worden nu gedwongen te heroverwegen welke kwetsbaarheden ze als urgent behandelen, hoe ze prioriteit geven aan patching, en of hun cadans voor kwetsbaarheidsbeheer kan overleven in een wereld waar de ontwikkeling van exploits goedkoop, snel en geautomatiseerd is geworden.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Anthropic's Mythos Preview bouwde autonoom 8 werkende exploits uit 18 recente Firefox patches en 8 volledige SYSTEM niveau exploitketens uit 21 Windows kernelpatches, met de eerste Windows exploit al na 31 minuten.
Anthropic's Mythos Preview bouwde autonoom 8 werkende exploits uit 18 recente Firefox patches en 8 volledige SYSTEM niveau exploitketens uit 21 Windows kernelpatches, met de eerste Windows exploit al na 31 minuten. De kosten per succesvolle exploit campagne daalden tot onder de $50, en een volledige scan van een besturingssysteem kostte minder dan $20.000, wat geavanceerde aanvalswapens toegankelijk maakt voor individuele ontwik...
Mythos activeerde 13 van de 14 Windows bugs die Microsoft als 'onwaarschijnlijk te exploiteren' beoordeelde, wat suggereert dat het aantal kwetsbaarheden dat met spoed gepatcht moet worden, ongeveer vijf keer zo groot...