AI Nieuws 9 min

Mythos: de AI waar banken wereldwijd in paniek van raken

Anthropic lanceerde op 7 april Mythos, een AI die zelf zwakke plekken in software vindt én meteen misbruikt. Banken, de ECB en de Bundesbank reageerden binnen dagen. Wat dit voor Nederland en mkb betekent.

door Redactie
Miniatuur diorama-illustratie bij artikel 'Mythos: de AI waar banken wereldwijd in paniek van raken'

Op 7 april 2026 kondigde Anthropic een AI aan die anders is dan de ChatGPT’s en Claude’s die je kent. Mythos schrijft geen e-mails en vat geen teksten samen. Mythos zoekt fouten in software waar hackers normaal maanden naar speuren — en hij maakt van elke fout meteen een werkende inbraak-instructie. Binnen twee weken stonden de Britse overheid, de Europese Centrale Bank en de Duitse Bundesbank op scherp. Wat is er aan de hand, en wat betekent het voor jou?

Voor wie is dit artikel?Voor mkb-ondernemers, bankklanten en iedereen die zich afvraagt waarom “de banken op scherp staan” deze maand. Zoek je eerst een bredere update over wat Anthropic doet? Lees onze eerdere analyseAnthropic’s Claude 4 naar Europa.

Wat is Mythos eigenlijk?

Mythos is een speciale versie van Anthropic’s bekende AI-programma Claude. Normaal gebruik je Claude om teksten te schrijven of vragen te beantwoorden. Mythos is getraind op iets heel anders: het vinden van fouten in software die gevaarlijk zijn — de fouten waar digitale inbrekers doorheen zouden kunnen.

Twee dingen maken Mythos nieuw:

  • Hij vindt fouten die niemand anders ziet. Stel je voor dat een inbreker bij jou in de straat een onbekend gat in de achterdeur ontdekt dat niemand kent. Dat gat in software heet in de vakwereld een “zero-day”: een zwakke plek die zelfs de maker van de software niet weet dat er is.
  • Hij maakt er meteen een sleutel bij. Mythos vindt het gat én schrijft de instructie hoe een inbreker er doorheen kan. In 8 van de 10 gevallen werkt die instructie direct, zonder testen (Bron: Help Net Security).

In Anthropic’s eigen testrapport staat dat Mythos duizenden van dit soort onbekende zwakke plekken heeft gevonden, in vrijwel elke grote software — Windows, macOS, Linux, de grote internetbrowsers. Sommige fouten zaten er al jaren in zonder dat iemand het merkte; één zat er zelfs 27 jaar in (Bron: Anthropic).

Beginner-tip:Onbekende softwarefouten worden op de zwarte markt verhandeld voor tonnen tot miljoenen. Dat is geen overdrijving — er zijn hele handelsnetwerken voor. Een programma dat die fouten in uren vindt in plaats van maanden, verandert het hele speelveld.

Anthropic kent de risico’s en houdt het sleutelwerk bewust onder controle. Mythos is niet gewoon te downloaden, zoals Claude of ChatGPT. Je komt er alleen in via Project Glasswing: een groepje van ongeveer 40 organisaties — waaronder Amazon, Apple, Microsoft, Google en de Linux Foundation — die Mythos alleen voor verdediging mogen gebruiken, niet voor aanval (Bron: Anthropic).

Waarom staan banken op scherp?

Binnen één week na de aankondiging stonden toezichthouders wereldwijd in de hoogste versnelling. Dat zie je zelden. Drie momenten:

  • 15 april: de Britse overheid stuurde een open brief aan Anthropic. Hun AI-onderzoekslab schreef dat Mythos “beter is in digitale aanvallen dan elk AI-programma dat we eerder hebben getest” (Bron: Fortune).
  • 16 april: de Europese Centrale Bank (ECB) belegde een telefonische vergadering met de topmensen die bij eurozone-banken over risico gaan (Bron: Bloomberg).
  • De dagen daarna: de Duitse Bundesbank waarschuwde ook. De internationale Financial Stability Board beloofde informatie te delen tussen centrale banken wereldwijd.

ECB-voorzitter Lagarde vatte het kort samen: er bestaan op dit moment simpelweg geen regels om iets zo krachtigs te beheersen.

Wat houdt de banken vooral bezig? Niet dat Mythos morgen je rekening leeghaalt. Het is de scheve verdeling. JP Morgan en de andere partners van Project Glasswing kunnen nu hun eigen systemen laten aftasten en versterken. Een kleinere Nederlandse bank, een Duitse regionale bank, een coöperatieve bank in Italië — die kunnen dat niet. En hun klanten — elk mkb-bedrijf dat bij zo’n bank bankiert — zijn even kwetsbaar als die bank zelf. Als de Mythos-technologie uitlekt of elders opduikt, staan de zwakke schakels er langer aan bloot dan de sterke.

Het incident van 21 april — de muur lekte al

Precies twee weken na de aankondiging kwam het bericht dat een groepje mensen Mythos had bereikt die daar helemaal geen officiële toegang voor hadden. Bloomberg meldde op 21 april dat dit was gebeurd via een computer-omgeving van een bedrijf dat voor Anthropic werkt (Bron: TechCrunch).

Volgens het bericht had de groep gegokt waar Mythos online stond, op basis van hoe Anthropic doorgaans zijn webadressen opbouwt. Een medewerker van het betreffende inhuurbedrijf speelde een rol. Anthropic bevestigt dat er onderzoek loopt en dat er “geen bewijs is van substantieel misbruik” (Bron: Engadget).

Dat klinkt als gematigd nieuws. Is het niet. De hele logica van Project Glasswing — dat alleen vertrouwde partijen Mythos mogen gebruiken — staat of valt met het dichthouden van die deur. Eén lek, en het programma is effectief uit de fles. Dat dit op dezelfde dag gebeurde als de publieke aankondiging, zegt iets over hoe snel zoiets in het verkeerde vaarwater kan komen.

Wat betekent dit voor Nederland?

Drie dingen zijn concreet:

1. Bunq heeft toegang aangevraagd. De Nederlandse app-bank wil met Mythos experimenteren (Bron: CFO.nl). Of die aanvraag wordt goedgekeurd is nog onduidelijk — Anthropic laat niet zomaar iedereen binnen. Maar dat Bunq het vraagt, zegt dat ook Nederlandse banken vinden dat ze niet kunnen wachten.

2. Europese banken zijn volgens bronnen “binnenkort” aan de beurt. Reuters-bronnen melden dat Anthropic Europese toegang plant (Bron: IEX.nl). Britse banken krijgen naar verluidt nog deze week toegang.

3. De Nederlandse overheid heeft formeel gewaarschuwd. Volgens Techzine heeft het kabinet een waarschuwing afgegeven over dit controversiële AI-programma, zonder een specifiek bedrijf te noemen (Bron: Techzine). De Nederlandse toezichthouders (DNB en AFM) volgen de ontwikkeling. Officieel beleid is er nog niet, maar dat het onderwerp hun bureau heeft bereikt, staat vast.

Gevorderden:Het juridisch lastige punt is de Europese AI-wet. Mythos is geen gewone AI-chatbot, maar een specifiek risicoproduct. Hoe je dat precies onderbrengt in de AI-wet weten de toezichthouders zelf nog niet. Voor de bredere context over hoe tien Nederlandse toezichthouders omgaan met AI: onze gidsEU AI Act-toezichthouders in Nederland.

Voor MKB en ondernemers — wat betekent dit?

  • Moet je iets? Ja, één ding: zorg dat je snel updatet. Belangrijke updates van je software moeten binnen dagen live staan, niet weken. Onbekende fouten worden nu sneller gevonden én sneller misbruikt dan vroeger.
  • Wat merk je er concreet van? Een accountantskantoor van 8 man dat met oude versies van z’n boekhoudpakket werkt: grotere kans op gijzelsoftware die binnenkomt via een bekende-maar-niet-geïnstalleerde update. Een webshop met een eigen webwinkel-installatie: eerder doelwit als plug-ins maanden achterlopen. Een zzp’er die via een kleinere bank bankiert zonder Mythos-toegang: statistisch een fractie hoger risico op een datalek bij die bank.
  • Wat is je eerste stap? Check deze week hoe snel de nieuwe versies van je drie belangrijkste software-pakketten (bank, boekhouding, werkplek) bij jou live staan na een release. Duurt dat meer dan twee weken? Plan een gesprek met je IT-partner. Dat is een goedkopere verzekering dan de kosten als het misgaat.

Waar zit het echte risico — en waar niet?

Mythos is niet het eerste geval dat een AI-bedrijf zijn krachtigste model exclusief beschikbaar stelt aan machtige partijen. OpenAI deed hetzelfde richting het Pentagon — onze deep dive over OpenAI en het Amerikaanse leger laat zien hoe dit patroon de hele sector raakt en welke ethische vragen dat oproept.

Tijd om af te remmen. De berichten zijn dramatisch en er is reden tot alertheid. Maar een paar dingen zijn niet aan de hand:

  • Mythos hangt niet op straat. Op dit moment is toegang zeldzaam en duur. Voor een grote criminaliteitsgolf moet zoiets massaal beschikbaar zijn, en dat is het niet.
  • Je bedrijf is zelden het eerste doelwit. Criminele groepen richten zich op de plekken waar het meeste geld zit: banken, clouddiensten, overheid. Een eenmanszaak komt later aan de beurt. Dat is geen reden om niks te doen — wel reden om rustig en gericht te werken.
  • De bestaande verdediging werkt nog steeds. Twee-staps-inloggen, snel updaten, back-ups, zo min mogelijk rechten per medewerker. Geen daarvan wordt overbodig door Mythos. Ze worden alleen belangrijker.

Wat je wel serieus moet nemen: de komende zes maanden zal het tempo waarin onbekende softwarefouten bekend worden waarschijnlijk omhoogschieten. Anthropic deelt zijn vondsten via Project Glasswing met de softwaremakers — goed nieuws, want dat leidt tot updates. Maar elke nieuwe update is ook een signaal aan criminelen dat er een gat zat tot kort geleden. Bedrijven die traag updaten, zitten in een gevaarlijkere periode dan vroeger.

Waar ik de grootste impact verwacht: niet bij de grote banken (die kunnen zich organiseren), maar bij de laag eronder. Middelgrote software-leveranciers, lokale hostingpartijen, boekhoudprogramma’s voor specifieke branches. Dat zijn de schakels die minder zichtbaar zijn en minder snel aanhaken bij Mythos-achtige verdedigingstools. Of ze op tijd reageren, hangt af van de signalen die hun klanten — jullie dus — geven. Vraag ernaar.

Beginner-tip:Vind je cybersecurity-nieuws verwarrend? Veel “het komt eraan”-verhalen worden expres dramatisch gebracht. Onze gidsAI-hallucinaties herkennenhelpt je ruis van signaal te scheiden in elk AI-nieuws — ook dit.

Veelgestelde vragen

Wat is Anthropic's Mythos precies?

Mythos is een AI van Anthropic, de maker van Claude (de bekende chatbot). Maar Mythos is niet getraind om teksten te schrijven of vragen te beantwoorden. Hij is getraind om fouten in software op te sporen die gevaarlijk zijn — de fouten waar inbrekers doorheen zouden kunnen. Stel je voor dat een inbreker bij jou in de straat een onbekend gat in de achterdeur ontdekt, en meteen de juiste sleutel erbij maakt. Mythos doet dat met software. In Anthropic's eigen tests lukte dat in 8 van de 10 gevallen in één poging. Het programma vond duizenden onbekende fouten in alle grote systemen (Windows, macOS, Linux) en in webbrowsers. Anthropic geeft het alleen aan een klein groepje partners.

Waarom maken banken zich zorgen over Mythos?

Banken draaien op oude software die in de loop der jaren met pleisters aan elkaar hangt. Een programma dat fouten in die software sneller vindt dan een heel team hackers, maakt aanvallen goedkoper en sneller. Centrale banken maken zich vooral zorgen over de scheve verdeling. Een paar grote Amerikaanse banken hebben Mythos al en kunnen zich versterken. Kleinere banken, Europese banken en hun klanten — het midden- en kleinbedrijf dus — zitten nog zonder. Als de technologie uitlekt, zijn zij de zwakke schakel. De Britse overheid noemde Mythos zelfs 'beter in digitale aanvallen dan elk AI-programma dat we eerder hebben getest'.

Wanneer krijgen Nederlandse bedrijven toegang tot Mythos?

Alleen op uitnodiging. Bunq heeft bevestigd dat het toegang heeft aangevraagd. Volgens Reuters-bronnen plant Anthropic binnenkort toegang voor Europese banken; Britse banken krijgen deze week al toegang, melden Britse media. Een brede uitrol naar het Nederlandse mkb is niet in zicht. Microsoft bouwt Mythos wel in als onderdeel van zijn beveiligingsprogramma voor software-ontwikkelaars — en dat raakt uiteindelijk ook Nederlandse IT-teams.

Kan Mythos mijn bedrijf hacken?

Direct: nee. Mythos is niet te downloaden en Anthropic screent elke aanvraag zwaar. Indirect: dat is de zorg. Als de technologie uitlekt — wat op 21 april volgens Bloomberg mogelijk al gebeurde via een leverancier — of als concurrerende AI's met vergelijkbare kracht opduiken, wordt het veel makkelijker om fouten in commerciële software razendsnel te vinden. Dat raakt elk bedrijf dat software gebruikt. Je verdediging blijft hetzelfde als vorig jaar: snel updaten, elke medewerker zo min mogelijk rechten, goede back-ups, twee-staps-inloggen overal waar het kan.

Wat kun je als mkb-ondernemer doen tegen Mythos-risico's?

Drie concrete dingen. Eén: zet 'snel updaten' op je agenda. Hoe snel staan nieuwe versies van Windows, je boekhoudprogramma en je bank-app bij jou live na een release? Niet binnen een week? Regel een plan. Twee: vraag je belangrijkste software-leveranciers (bank, CRM, boekhouder, cloud) of ze iets met Mythos doen voor hun eigen beveiligingstests. Een goede leverancier kan dat uitleggen. Drie: maak offline back-ups. Als er ooit iets doorkomt, is snel herstellen je belangrijkste schild. Geen paniek — maar de komende zes maanden wordt updaten-snelheid belangrijker dan ooit.

Bronnen

Waar deze informatie vandaan komt.

  1. Claude Mythos Previewred.anthropic.comAnthropic
  2. Anthropic's new AI model finds and exploits zero-dayshelpnetsecurity.comHelp Net Security
  3. Anthropic's 'Mythos' AI can hack nearly anythingfortune.comFortune
  4. ECB to Scrutinize Anthropic's Mythos on Call with Executivesbloomberg.comBloomberg
  5. Unauthorized group has gained access to Anthropic's Mythostechcrunch.comTechCrunch
  6. AI-model Mythos jaagt financiële wereld schrik aanfd.nlHet Financieele Dagblad
  7. Dutch government warns against controversial Anthropic Mythos modeltechzine.euTechzine
Tags

Lees verder