Op 7 april 2026 deed AI-bedrijf Anthropic iets wat de industrie op z'n grondvesten deed schudden. Het kondigde een nieuw AI-model aan — Claude Mythos — en zei er meteen bij: dit geven we niet vrij aan het publiek. Te gevaarlijk. Te goed in dingen vinden die stuk mogen.
Het nieuws sloeg in als een bom. De New York Times kopte: "Anthropic's New Mythos A.I. Model Sets Off Global Alarms." CNN noemde het een "terrifying warning sign." En het World Economic Forum schreef dat AI hiermee officieel z'n "security-first era" was ingegaan.
Maar het echte verhaal is niet dat Mythos eng is. Het is dat iemand eindelijk op de rem trapt — en dat dit consequenties heeft voor elk bedrijf dat met software werkt.
Wat kan Mythos eigenlijk?
Anthropic heeft Mythos getraind om software-kwetsbaarheden te vinden. Niet de simpele dingen die een gemiddelde developer ook ziet. Nee, de "subtle and difficult to detect" fouten die al jaren in productiesystemen zitten zonder dat iemand het doorheeft.
Het spectaculairste voorbeeld: Mythos vond een 27 jaar oude kwetsbaarheid in OpenBSD, een besturingssysteem dat geldt als een van de meest beveiligde ter wereld. Zevenentwintig jaar had niemand deze fout opgemerkt. Mythos vond 'm in een middag.
Dat is de goede kant. De slechte kant is dat exact dezelfde capaciteit ook gebruikt kan worden om systemen aan te vallen. Vandaar de beperkte release: alleen 11 zorgvuldig geselecteerde organisaties — waaronder de Britse overheid als enige niet-Amerikaanse partij — kregen toegang tot Mythos Preview.
Het lek dat alles veranderde
En toen ging het mis. Op dezelfde dag dat Anthropic de beperkte release aankondigde, kregen onbevoegde gebruikers in een privé online forum toegang tot Mythos. Bloomberg bevestigde het lek met documentatie en een bron binnen het bedrijf.
Dat ene lek veranderde het gesprek fundamenteel. Mythos was niet langer een veiligheidsexperiment in een laboratorium. Het was een wapen dat in het wild rondliep — en niemand wist wie het nog meer had.
Verrassend genoeg was de reactie niet paniek, maar versnelling. De 11 partnerorganisaties verdubbelden hun inzet. Het World Economic Forum zette Mythos centraal op de agenda van de jaarlijkse Cybersecurity-top in mei. En de Amerikaanse overheid — die nota bene in een juridisch gevecht verwikkeld is met Anthropic over AI in oorlogsvoering — begon haast te maken met regelgeving.
Wat dit betekent voor jouw mkb-bedrijf
Je denkt misschien: dit gaat over banken, overheden en energiecentrales. Niet over mijn aannemersbedrijf met 12 man. Maar dat is kortzichtig. Dit is waarom:
De kwetsbaarheden die Mythos vindt, zitten in software die jij gebruikt. Je boekhoudpakket. Je CRM. Je e-mailserver. Die 27 jaar oude OpenBSD-fout? Daar draaiden routers, firewalls en mailservers op — wereldwijd, decennialang. Ook die van jou.
Als Mythos kwetsbaarheden kan vinden, kunnen AI-modellen van volgend jaar dat ook. En de volgende Mythos wordt niet achter slot en grendel gehouden — want China, Rusland en Noord-Korea bouwen hun eigen versies, zonder ethische rem.
Drie dingen die je deze week moet doen
1. Inventariseer je software-stack
Schrijf op welke software je gebruikt, welke versies, en wanneer de laatste update was. Als je leverancier al zes maanden geen security-patch heeft uitgebracht, is dat een alarmsignaal.
2. Eis transparantie van je IT-leverancier
Vraag je softwareleverancier één simpele vraag: "Hebben jullie je code laten scannen op zero-day kwetsbaarheden, en zo ja, door wie?" Een vaag antwoord is een nee. Een goed antwoord bevat een datum, een tool of een partijnaam.
3. Budgetteer voor security — nú, niet straks
Mkb-bedrijven besteden gemiddeld 3 tot 5 procent van hun IT-budget aan beveiliging. Dat moet minstens 10 procent worden. Niet omdat er meer gevaar is — maar omdat het gevaar sneller beweegt dan ooit. Een AI vindt je zwakke plek in minuten. De vraag is niet óf je wordt gescand, maar of je er klaar voor bent.
Anthropic deed iets ongekends: een bedrijf dat miljarden had kunnen verdienen aan Mythos, hield het bewust achter. Dat is geen zwakte. Dat is het besef dat sommige technologieën eerst begrepen moeten worden voordat ze losgelaten kunnen worden.
Het is een les die elk bedrijf ter harte mag nemen. Niet alles wat kan, moet. En niet alles wat nu veilig lijkt, is het over zes maanden nog.