Anthropic houdt nieuw AI-model geheim na ontdekking van duizenden

In een stap die een dramatische verschuiving aangeeft in de manier waarop geavanceerde AI-technologieën worden ingezet, heeft Anthropic ervoor gekozen om zijn meest geavanceerde kunstmatige intelligentiemodel niet openbaar te maken. Dit nadat het model duizenden voorheen onbekende cyberbeveiligingslekken in belangrijke besturingssystemen en webbrowsers had ontdekt. In plaats van het model commercieel te lanceren, heeft het bedrijf de toegang in stilte verstrekt aan de organisaties die verantwoordelijk zijn voor de beveiliging van de digitale infrastructuur wereldwijd.

Wat is er gebeurd: een voorproefje van Project Glasswing en Claude Mythos

Het betreffende model heet Claude Mythos Preview en is Anthropics meest geavanceerde systeem tot nu toe. Tijdens interne tests toonde Mythos een buitengewoon vermogen om beveiligingslekken te identificeren en ontdekte duizenden kwetsbaarheden in alle belangrijke besturingssystemen en browsersystemen die momenteel in gebruik zijn.

In plaats van dit te beschouwen als een kans om een product te lanceren, heeft Anthropic een initiatief opgezet genaamd Project Glasswing. Dit programma zet de mogelijkheden van Mythos rechtstreeks in bij de bedrijven en stichtingen die cruciale software ontwikkelen en onderhouden. De lanceringspartners vormen een indrukwekkende lijst van wereldwijde technologiebedrijven: Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, de Linux Foundation, Microsoft, Nvidia en Palo Alto Networks.

Naast die eerste groep is de toegang uitgebreid naar meer dan 40 extra organisaties die essentiële software-infrastructuur ontwikkelen of onderhouden. Om dit initiatief financieel te ondersteunen, stelt Anthropic tot $100 miljoen aan gebruikskredieten beschikbaar, zodat deze partners Mythos kunnen gebruiken met hun eigen codebases.

Waarom dit belangrijk is: een nieuw paradigma voor verantwoorde AI-implementatie

Deze beslissing is om verschillende redenen van enorm belang. Ten eerste is het een van de duidelijkste voorbeelden tot nu toe van een AI-laboratorium dat bewust het commerciële potentieel van een baanbrekend model beperkt vanwege veiligheidsrisico's. In een sector die vaak bekritiseerd wordt vanwege de haast om producten op de markt te brengen, koos Anthropic voor terughoudendheid – en dat is opmerkelijk.

Ten tweede is de enorme schaal van de ontdekkingen verbluffend. Het vinden van duizenden kwetsbaarheden op meerdere platforms suggereert dat Mythos opereert op een niveau van codeanalyse dat veel verder gaat dan wat menselijke beveiligingsonderzoekers of bestaande geautomatiseerde tools in vergelijkbare tijdsbestekken kunnen bereiken. Ter vergelijking: de CVE-database – de wereldwijde standaard voor het bijhouden van openbaar gemaakte cyberbeveiligingslekken – registreert doorgaans zo'n 25.000 tot 30.000 nieuwe vermeldingen per jaar. Een enkel AI-model dat in een korte periode duizenden bevindingen oplevert, vertegenwoordigt een aanzienlijk deel van de jaarlijkse wereldwijde openbaarmakingen.

Ten derde zou deze aanpak de economie van kwetsbaarheidsonderzoek kunnen herdefiniëren. Als u onze berichtgeving over Microsofts open-source toolkit die AI-agents tijdens runtime beveiligt hebt gevolgd, weet u dat bug bounty-programma's en penetratietesten duur en arbeidsintensief blijven. Een AI-model dat dit werk op grote schaal kan uitvoeren, zou organisaties miljarden aan kosten als gevolg van datalekken kunnen besparen.

Achtergrond: De reputatie van Anthropic als bedrijf dat veiligheid vooropstelt

Anthropic werd in 2021 opgericht door voormalige OpenAI-onderzoekers, waaronder de broer en zus Dario en Daniela Amodei. Het bedrijf heeft zich consequent gepositioneerd als het veiligheidsbewuste alternatief in de race om de meest geavanceerde AI-modellen, door gedetailleerde beleidsrichtlijnen voor verantwoord schalen te publiceren en fors te investeren in onderzoek naar afstemming. De Claude-modellenreeks concurreert rechtstreeks met OpenAI's GPT-reeks en Google's Gemini.

De beslissing om Mythos niet openbaar te maken, sluit aan bij die filosofie. Het vrijgeven van een model dat op grote schaal zero-day kwetsbaarheden kan identificeren, zou een tweesnijdend zwaard zijn: van onschatbare waarde voor verdedigers, maar potentieel catastrofaal als het in handen valt van kwaadwillende actoren die dezelfde kwetsbaarheden kunnen misbruiken voordat patches worden uitgebracht.

Deze spanning vormt de kern van wat beveiligingsonderzoekers het probleem van de "offensief-defensieve asymmetrie" noemen. Aanvallers hoeven slechts één exploiteerbare zwakte te vinden. Verdedigers moeten ze allemaal vinden en verhelpen. Een AI die de balans in het voordeel van de verdedigers doet doorslaan – maar alleen als de mogelijkheden ervan zorgvuldig worden gecontroleerd – is precies het soort tool dat een beperkt distributiemodel vereist.

De strategische implicaties voor Anthropic en de industrie

Vanuit zakelijk oogpunt is Project Glasswing een meesterzet, zelfs als dit ten koste gaat van de inkomsten op korte termijn. Denk eens aan de strategische voordelen:

• Diepe integratie met kritieke infrastructuur: Door Mythos in te bedden in de workflows van AWS, Microsoft, Google en anderen, creëert Anthropic een afhankelijkheid en vertrouwen die geen enkele marketingcampagne kan evenaren.
• Goede wil bij toezichthouders: Nu overheden wereldwijd wetgeving over AI opstellen, levert het tonen van verantwoordelijke terughoudendheid geloofwaardigheid op die van belang is bij het nemen van beleidsbeslissingen.
• Datafeedbackloops: Elke kwetsbaarheid die partnerorganisaties bevestigen en verhelpen, genereert waardevolle trainingssignalen die toekomstige Anthropic-modellen nog capabeler zullen maken.
• Concurrentievoordeel: Noch OpenAI, noch Google DeepMind heeft iets vergelijkbaars aangekondigd, waardoor Anthropic een unieke positie inneemt op de markt voor bedrijfsbeveiliging.

De deelname van JPMorganChase is bijzonder veelzeggend. Financiële instellingen worden geconfronteerd met meedogenloze cyberaanvallen en opereren onder enkele van de strengste regelgevingen ter wereld. Hun deelname laat zien dat Mythos zijn waarde al heeft bewezen, ook buiten de technologiesector. Als je geïnteresseerd bent in hoe AI de financiële dienstverlening verandert, lees dan ons artikel over Google AI die PaperOrchestra onthult voor geautomatiseerd onderzoek .

Wat volgt?

Er blijven nog diverse vragen onbeantwoord. Zal Anthropic Mythos uiteindelijk openbaar maken, wellicht nadat de meest kritieke kwetsbaarheden zijn verholpen? Hoe zal het bedrijf controleren of partnerorganisaties daadwerkelijk tijdig actie ondernemen naar aanleiding van de bevindingen? En wat gebeurt er als tegenstanders onvermijdelijk hun eigen AI-modellen ontwikkelen om kwetsbaarheden op te sporen, zonder vergelijkbare ethische waarborgen?

De bredere sector zal ook nauwlettend in de gaten houden of deze samenwerkingsgerichte, quasi-filantropische aanpak een voorbeeld wordt. Als een investering van 100 miljoen dollar in defensieve cyberbeveiliging meetbare resultaten oplevert – minder datalekken, snellere patches, een veiliger internet – zullen andere AI-laboratoria onder druk komen te staan om dit voorbeeld te volgen.

Er is ook de vraag of overheden dit soort kaders voor verantwoorde openbaarmaking verplicht zullen stellen. Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft al interesse getoond in AI-ondersteunde kwetsbaarheidsdetectie als onderdeel van haar bredere missie.

De kern van de zaak

De beslissing van Anthropic om Claude Mythos Preview buiten de publieke aandacht te houden, is een van de meest ingrijpende ontwikkelingen in de AI-industrie dit jaar. Door veiligheid boven spektakel te verkiezen, zet het bedrijf een weloverwogen gok in: de krachtigste AI-modellen hoeven niet altijd producten te zijn, maar moeten soms juist tools zijn die in stilte worden ingezet door de mensen die het best in staat zijn om anderen te beschermen. Of die gok zich uitbetaalt, hangt af van de uitvoering, de transparantie en of de rest van de industrie bereid is een pad te volgen dat collectieve verdediging boven individuele winst stelt.