De AI die een 27 jaar oude bug vond: Binnen Anthropic's Project Glasswing

De redenering erachter is helder. Anthropic heeft berekend dat een geslaagde cyberaanval op één van deze vitale spelers enorme systeemrisico's met zich mee kan brengen. Door het krachtigste beveiligingsinstrument direct in handen te geven van de partijen die onze essentiële diensten draaiende houden, gokt het bedrijf erop dat proactieve verdediging op grote schaal de kwaadwillenden voor kan blijven .

Twee namen uit de nieuwe golf illustreren de wereldwijde impact en strategische diepgang van het programma. BeyondTrust, een leider in identiteitsbeveiliging met een focus op geprivilegieerde accounts, sloot zich op 8 juni 2026 aan. De software van BeyondTrust is diep verweven met overheidsinstanties en essentiële diensten. De toegang tot Mythos Preview zal worden gebruikt om de ontdekking en het herstel van zwakke plekken in hun volledige productportfolio te versnellen .

Eerder, op 5 juni, maakte Hitachi zijn deelname bekend. De Japanse industriële gigant zal Mythos Preview inzetten op de software voor zijn sociale infrastructuur, de digitale ruggengraat van energienetwerken, transportnetwerken en stedelijke infrastructuur .

Deze partijen voegen zich bij een bestaand netwerk dat onder meer bestaat uit Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA en Amerikaanse overheidsinstanties. Er is zo een sectoroverschrijdende verdedigingscoalitie ontstaan met weinig historische precedenten .

Een model dat de regels van cybersecurity herschrijft

De strategische urgentie achter Project Glasswing is een directe reactie op de schrikbarende capaciteiten van Claude Mythos Preview. In eigen documentatie omschrijft Anthropic het nog niet uitgebrachte model als "opvallend capabel in computerbeveiligingstaken" . En het is meer dan alleen een assistent. Het operatie als een autonome onderzoeker van kwetsbaarheden en een bouwer van exploits.

Tijdens interne tests ontdekte Mythos Preview zogeheten 'zero-day'-kwetsbaarheden—lekken die nog onbekend zijn bij de softwaremaker—in elk groot besturingssysteem en elke grote webbrowser, waarna het er ook zelfstandig werkende exploits voor bouwde . De schaal van de output doet eerdere benchmarks verbleken. In een vergelijkende test met Firefox 147 produceerde Mythos Preview 181 werkende exploits. Ter vergelijking: het vorige toonaangevende model, Claude Opus 4.6, kwam tot twee .

Eind mei 2026 hadden Project Glasswing-partners het model gebruikt om meer dan 10.000 beveiligingslekken met een hoge of kritieke ernst te identificeren . Eén enkele vroege draai bij Cloudflare bracht al zo'n 400 kritieke bugs aan het licht, terwijl Mozilla de bevindingen gebruikte om 271 kwetsbaarheden in Firefox 150 te patchen . In meer dan 1.000 open-source projecten vlagde het model 23.019 potentiële problemen aan. Professionele beveiligings-controleurs bevestigden de ernstclassificatie in 89 procent van een handmatig beoordeelde steekproef .

Het opduiken van decennia-oude kwetsbaarheden

De meest tot de verbeelding sprekende vondst is misschien wel een fout die al 27 jaar oud was. In OpenBSD, een besturingssysteem dat juist bekendstaat om zijn obsessieve focus op veiligheid en waarin de code talloze keren met de hand is gecontroleerd, vond Mythos Preview een lek in het TCP SACK-protocol. Twee netwerkpakketjes waren genoeg om elke server met die kwetsbaarheid te laten crashen. Het vinden van deze bug kostte een Anthropic-onderzoekscampagne ongeveer $20.000, maar de specifieke rekensessie van het model die de fout aan het licht bracht, kostte minder dan $50 . De bug dateerde uit 1998 en had al die tijd de audits, de 'fuzzers' (automatische testtools) en de menselijke blik weten te ontwijken .

En het bleef niet bij OpenBSD. Het model ontdekte een 17 jaar oude kwetsbaarheid in FreeBSD's NFS-server die een onbevoegde aanvaller op afstand volledige root-toegang tot een systeem kon geven (CVE-2026-4747) . Ook vond het een reeks fouten in de Linuxkernel die het mogelijk maakten om van een normale gebruiker op te klimmen naar volledige systeembeheerder-rechten .

Het bewaren van het evenwicht: een geheim wapen met beperkte toegang

De immense kracht van Mythos Preview maakt het ook tot een enorm veiligheidsrisico als het in verkeerde handen zou vallen. Daarom is het model niet publiekelijk beschikbaar. Toegang verloopt strikt via het uitnodigingssysteem van Project Glasswing, waarbij deelnemers strikte voorwaarden ondertekenen die offensief gebruik verbieden .

Om het defensieve gebruik aan te moedigen en de financiële drempel weg te nemen, heeft Anthropic tot $100 miljoen aan modelgebruikstegoeden toegezegd. Hiermee kunnen deelnemende organisaties de rekenkosten dekken voor het grondig scannen van hun code . Daarnaast wordt er $4 miljoen gedoneerd aan beveiligingsgroepen in de open-source wereld . De hele operatie gaat gepaard met een nieuw openbaarmakingsbeleid dat is toegesneden op vondsten op de schaal van een machine .

Conclusie: een nieuw tijdperk van proactieve verdediging

Met de uitbreiding naar vitale sectoren zoals energie, water en zorg is Project Glasswing niet langer een exclusief project voor Silicon Valley. Het begint een wereldwijde publiek-private defensiemuur te vormen. Door de meest geavanceerde aanvals-AI om te smeden tot een schild, hoopt Anthropic het eeuwigdurende kat-en-muisspel in cybersecurity fundamenteel te veranderen. De AI heeft de 27 jaar oude speld in de hooiberg gevonden. De vraag is nu of we de hooiberg kunnen repareren voordat de boerderij afbrandt.