Patroon: AI maakt aanvallers én verdedigers sterker — en dezelfde bedrijven verkopen beide kanten. GPT-5.5 kan autonoom netwerkaanvallen uitvoeren. Anthropic lanceert Claude Security voor verdedigers terwijl ze eerder offensive AI té gevaarlijk achtten. MKB zonder securityteam wordt het slagveld.
De realiteit: - GPT-5.5 loste autonoom een volledige netwerkaanval-simulatie op (UK AI Security Institute, May 2026) - Claude Code vond een 23 jaar oude heap buffer overflow in de Linux kernel (Carlini/Anthropic, Apr 2026) - Anthropic: offensive capabilities "te gevaarlijk voor release" → twee maanden later: Claude Security voor defenders - Beperkende factor is niet langer het vinden van bugs — maar menselijke reviewcapaciteit om ze te bevestigen
Waarom catastrofaal voor MKB: - MKB heeft géén securityteam — de AI-aanvallen komen binnen zonder verdediging - AI-gegenereerde phishing is niet van echt te onderscheiden - Kwetsbaarheden die 23 jaar verborgen bleven worden nu in dagen gevonden - Verdedigings-AI kost geld dat MKB niet heeft; aanvals-AI is straks gratis/open-source
Signalen: - "Wij zijn te klein om doelwit te zijn" — fout: AI maakt massale geautomatiseerde aanvallen mogelijk - Geen budget voor security-awareness training terwijl AI-phishing explodeert - Vertrouwen op "de cloud regelt security wel" terwijl AI zero-days vindt in alles
Impact per segment
| Grootte | Impact | Reden |
|---|---|---|
| Micro (1-10) | Middel | Micro-bedrijven hebben minder aanvalsoppervlak, maar zijn volledig weerloos — één succesvolle aanval kan het bedrijf beëindigen. Vertrouwen vaak op 'de cloud regelt het'. |
| Klein (10-50) | Zeer hoog | Hebben substantiële data maar géén securityteam. AI-phishing gericht op financiële medewerkers is bijzonder effectief. Geen budget voor AI-verdedigingstools. |
| Middel (50-250) | Hoog | Hebben mogelijk een IT-medewerker maar geen securityspecialist. Grotere datasets maken ze aantrekkelijker doelwit. Hebben wel budget voor verdedigings-AI maar weten niet wat te kopen. |
| Sector | Risico | Reden |
|---|---|---|
| IT | Zeer hoog | IT-bedrijven zijn direct doelwit — AI vindt zero-days in hun software en infrastructuur. Cloud-migraties creëren nieuwe aanvalsoppervlaktes. |
| Financiën | Zeer hoog | Financiële data is het primaire doelwit van AI-aanvallers. Phishing gericht op boekhouders/CFO's is met AI niet meer van echt te onderscheiden. |
| Zorg | Zeer hoog | Patiëntdata is extreem waardevol op de zwarte markt. Zorginstellingen zijn notoir onderbeveiligd. AI-aanvallen op medische apparatuur kunnen levens bedreigen. |
| Dienstverlening | Hoog | Klantdata van accountants, advocaten en consultants is vertrouwelijk — een datalek is direct een vertrouwensbreuk met juridische consequenties. |
| Onderwijs | Middel | Onderwijsinstellingen worden steeds vaker doelwit van ransomware. Studentengegevens zijn waardevol voor identiteitsfraude. |
Bronnen: the-decoder.com (GPT-5.5 cyber attack, UK AISI, May 2026), mtlynch.io (Claude Code 23yr Linux bug, Apr 2026), the-decoder.com (Claude Security launch, May 2026)