Dit zou baanbrekende AI kunnen positioneren als een oncontroleerbare black box die het onvoorstelbare kan doen op het gebied van cybersecurity: inbreken in elk systeem dat miljarden mensen dagelijks gebruiken en vertrouwen.
Maak kennis met Mythos, een AI-model gemaakt door Anthropic. Mythos gaat alle verwachtingen te boven en is te gevaarlijk om publiekelijk te worden uitgebracht. Mythos ontdekt kwetsbaarheden in elk besturingssysteem of elke browser, bouwt vervolgens autonoom exploits voor elk systeem en hackt dit moeiteloos, met een slagingspercentage van 83% (
Fortune, april 2026
). Het Mythos-model, ook bekend als Claude Mythos Preview, ontdekt zero-day-kwetsbaarheden in elk systeem. De gebruiker die Mythos inzet, hoeft geen expert te zijn in het overbruggen van beveiligingsprotocollen, wat de drempel voor potentiële (niet-technische) hackers verlaagt.
Het Red Team van Anthropic beweert kwetsbaarheden te hebben gevonden in elk besturingssysteem en elke browser. Van die ontdekte kwetsbaarheden was 99% nog niet gepatcht (
CETAS / Turing Institute, 2026
). En om de kracht van Mythos te benadrukken: Mythos brak uit zijn sandbox en stuurde zijn makers een bericht terwijl zij aan het lunchen waren. De uitbraak, ook wel aangeduid als 'The Sandwich Email' (
Medium, april 2026
), blijft tot op de dag van vandaag een mysterie. Het mag duidelijk zijn dat Mythos zowel een cybersecuritydreiging is als een geweldige kans om kwetsbaarheden in elk besturingssysteem of elke browser ter wereld op te sporen.
In plaats van Mythos publiekelijk beschikbaar te stellen, lanceerde Anthropic Project Glasswing, waardoor meer dan vijftig van 's werelds grootste technologiebedrijven, waaronder Amazon, Microsoft, Apple, Cisco en CrowdStrike, toegang kregen. Door Project Glasswing geeft Anthropic deze bedrijven de tijd om kwetsbaarheden en zwakke plekken in hun systemen te vinden en te repareren. (
NBC News / Anthropic, april 2026
) Glasswing heeft daarmee één doel: ervoor zorgen dat verdedigers gelijke tred houden met cybersecuritydreigingen. Want, om te parafraseren wat Glasswing stelt: geen enkele organisatie kan deze cybersecurityproblemen alleen oplossen. (
Glasswing
)
Mythos legt de contouren van een crisis bloot
De cybersecurityrisico's die Mythos aan het licht brengt, zijn niet geïsoleerd of gefocust. Mythos vormt een wereldwijd systemisch risico. De positieve kant van Mythos is het vermogen om de verdediging aanzienlijk te versterken door risico's te ontdekken. Maar tegelijkertijd kan het de drempel verlagen voor het uitvoeren van geavanceerde cyberaanvallen. Het World Economic Forum stelt dat dit niet alleen om cybersecurity gaat, maar ook om de globale stabiliteit in zijn geheel ( WEF, april 2026 ). Denk aan kritische infrastructuur, financiële systemen en toeleveringsketens van sectoren.
Dit is de kern van de mogelijke crisis die Mythos blootlegt. Het model vindt niet slechts één systeemfout of een verkeerde patch. Het vindt duizenden kwetsbaarheden in alle grote besturingssystemen en browsers. Mythos vindt deze kwetsbaarheden autonoom, zonder dat er een beveiligingsexpert aan het roer hoeft te staan. Meer dan 99% van wat Mythos vond, was nog niet gepatcht op het moment dat Anthropic zijn bestaan aankondigde.
The Economist berichtte begin april dat Anthropic's krachtige nieuwe AI-model een verkoop van 2 biljoen dollar in aandelen van enterprise softwarebedrijven heeft veroorzaakt en een spoedvergadering bij het Amerikaanse ministerie van Financiën heeft uitgelokt met top-CEO's van banken ( The Economist, april 2026 ). TechCrunch meldt dat Amerikaanse functionarissen banken mogelijk aanmoedigen om Anthropic's Mythos-model te testen als reactie op de schokgolven die op de beurs werden gevoeld ( TechCrunch, april 2026 ).
Voorbij Mythos: open-weight-modellen
Maar Mythos is niet de enige bedreiging. Het Centre for Emerging Technology and Security (CETAS) van het Alan Turing Institute wijst op een andere cybersecuritydreiging: de open-weight AI-modellen. Dit zijn modellen die individuen privé downloaden en vervolgens ontdoen van de beveiligingsmaatregelen, zonder controle. Binnen dagen nadat Google in april 2026 zijn Gemma 4-modelfamilie uitbracht, verschenen er meerdere ongecensureerde varianten op publieke websites en databases. Het verschil tussen een gecontroleerde, verantwoorde AI-release en een ongecontroleerde, gevaarlijke versie? Volgens Epoch AI is de tijdspanne ongeveer drie maanden. (CETAS / Turing Institute, 2026 )
Voor organisaties die kritieke infrastructuur beheren (energienetten, watersystemen, financiële platforms) is dit geen toekomstig probleem. Het is mogelijk een actueel probleem. En de financiële impact van dit huidige probleem is even ontnuchterend. Volgens onderzoek van IBM betalen organisaties met een ernstig tekort aan cyberpersoneel gemiddeld 5,22 miljoen dollar per cyberincident: 1,57 miljoen dollar meer dan organisaties die genoeg talent in huis hebben. Dit gaat in principe om personeelskosten, i.p.v. technologiekosten. ( IBM, Cost of a Data Breach Report 2025 )
En hier is de ongemakkelijke waarheid voor elke directie die dit leest: uit een rapport van Edgescan blijkt dat meer dan 45% van de ontdekte beveiligingskwetsbaarheden in grote organisaties na twaalf maanden nog steeds niet gepatcht is. Niet omdat de tools ontbreken, maar omdat de mensen om er iets mee te doen ontbreken. ( Edgescan, Vulnerability Statistics Report, 2025 )
Menselijke expertise blijft de sleutel tot goede cybersecurity
Het Red Team van Anthropic stelt dat zelfs het krachtigste AI-model ter wereld menselijke cybersecurity-expertise nodig heeft om bugs te valideren. De AI voert een triage uit op elke bug, en stuurt de serieuze en acute dreigingen door naar professionals om te valideren. Het Red Team stelt dat in 89% van de 198 handmatig beoordeelde kwetsbaarheidsrapporten hun experts het volledig eens waren met de beoordeling van de AI. ( Anthropic Red Team, april 2026 )
De boodschap van het Red Team is duidelijk: zelfs met de krachtigste AI die ooit is gebouwd, heb je nog steeds bekwame professionals nodig die beoordelen, prioriteren en actie ondernemen op basis van wat de AI vindt. Tal Kollender, een voormalig hacker en oprichter van het platform Remedio, omschreef Mythos als een 'ongelooflijk duur alarm'. Risico's sneller vinden dan je ze kunt verhelpen, maakt organisaties niet veiliger. De ontdekking is slechts stap één. Wat volgt, is triage, prioritering, het patchen, valideren en documenteren. Tal stelt dat 'het verhelpen van kwetsbaarheden nog steeds een traag, handmatig proces is’. Teams moeten tickets aanmaken, systemen één voor één patchen, bijhouden hoe alles met elkaar verbonden is en ervoor zorgen dat ze de continuïteit van de business niet per ongeluk verstoren.' ( Fortune, 14 april 2026 )
Saeed Abbasi, Senior Manager Security Research bij de Qualys Threat Research Unit, beschrijft hoe AI en menselijke expertise naast elkaar werken. 'De AI-agenten zullen de motor zijn die talloze dreigingen doorzoekt, de serieuze bedreigingen automatisch markeert en mensen in het proces op de hoogte houdt. Daarnaast kan de cyberexpert zich richten op systemisch risico en strategie. De AI vindt de naald in de hooiberg; de mens beslist wat er met de naald, de hooiberg en de hele boerderij gebeurt.' ( Qualys, februari 2026 )
Dit is precies wat directies moeten begrijpen over het inhuren van experts. De cybersecurity-expert van 2026 is niet iemand die achteraf scans uitvoert. Het zijn strategische professionals die zich bevinden op het snijvlak van technologie, risicobeheer en bedrijfscontinuïteit. Ze adviseren directies en managers. Ze vertalen technische dreigingen naar financiële consequenties. Ze bepalen wat er als eerste wordt verholpen, en ze nemen verantwoordelijkheid, zoals Abbasi stelt, voor de hooiberg en de hele boerderij.
Voor organisaties die freelance- en interim-cyberprofessionals inhuren, is dit precies het schaarse profiel dat aangetrokken moet worden.
De cyberexpert: nodig maar schaars
Het Future of Jobs Report 2025 van het World Economic Forum stelt dat 'netwerken en cybersecurity'-vaardigheden behoren tot de drie snelst groeiende vaardigheden die voor 2030 worden verwacht. AI- en big data-kennis volgen op de voet. En nog belangrijker: het continu leren en bijspijkeren moet een topprioriteit zijn voor bestaand talent. ( WEF Global Cybersecurity Outlook 2026 ) In plaats van menselijke expertise te vervangen, zal AI, zoals het beruchte Mythos-model, specialisten in staat stellen hun focus te verschuiven naar strategisch toezicht, governance en beleid, terwijl routinematige operationele taken worden geautomatiseerd.
Hoewel cybersecurity tot de snelst groeiende vaardigheden voor 2030 behoort, is het tekort aan talent groot. De ISC2's Cybersecurity Workforce Study uit 2024 rapporteerde al over een aanzienlijk gat in de vraag naar cyber-experts, en gezien het feit dat het rapport twee jaar oud is, is dat gat sindsdien alleen maar groter geworden. Of hoe ISC2 het stelt: 'Er zijn 5,5 miljoen mensen actief in cyber wereldwijd, wat geweldig klinkt totdat je verder leest en ontdekt dat er een gat is van 4,8 miljoen.' ( ISC2's 2024 Cybersecurity Workforce Study )
Een steile groeicurve vraagt om een steile leercurve
De markt voor cybersecurity-producten en -diensten zal de komende vier tot vijf jaar een steile groeicurve meemaken. Of zoals Merrit Maxim, VP Research Director bij Forrester, schreef: 'De wereldwijde uitgaven aan cybersecurity-producten en -diensten groeien met 14,4% van 2024 tot en met 2029 en zullen in 2029 uitkomen op 302,5 miljard dollar, door de aanhoudende zorgen over cyberaanvallen in alle sectoren en regio's.' ( Forrester, Global Cybersecurity Market Forecast, 2024 tot 2029 )
En diezelfde steile groeicurve is terug te zien in de vraag naar cybersecurity-experts. CyberSeek rapporteert dat de VS een chronisch tekort heeft aan cybersecurity-experts, en telt meer dan 514.359 open vacatures ( CyberSeek ). Er zijn niet genoeg gekwalificeerde professionals om de beschikbare functies in te vullen. Het gat per regio verschilt sterk, met APAC als de grootste markt, gevolgd door Noord-Amerika, Europa, Latijns-Amerika en het Midden-Oosten & Afrika. Maar hier is wat het huidige moment onderscheidt van eerdere tekorten aan talent: het gaat niet langer alleen om het aantal openstaande vacatures.
Voor het eerst in de geschiedenis van het SANS/GIAC Cybersecurity Workforce Research Report heeft het gat in essentiële cybervaardigheden het personeelstekort overtroffen als grootste uitdaging. 60% van de organisaties zegt nu dat hun teams niet over de juiste vaardigheden beschikken om de huidige dreigingen het hoofd te bieden ( Yahoo Finance, maart 2026 ). Het is dan ook geen verrassing dat de vraag naar nieuwe specialistische functies jaar op jaar bijna verdubbelde: van 23% naar 53%. ( SANS Institute / Intelligent CISO, april 2026 ). De AI-modellen worden razendsnel ontwikkeld, maar de talentontwikkeling binnen organisaties moet minstens zo hard gaan om cyberdreigingen voor te zijn.
Wat dit in de praktijk betekent, is dat een cybergeneralist met een beveiligingscertificaat niet langer voldoende is. Organisaties, maar ook de intermediairs die samenwerken met de klant, moeten zoeken naar professionals die traditionele beveiligingskennis combineren met AI-vaardigheden. Professionals die begrijpen hoe modellen als Mythos werken, wat ze wel en niet kunnen, en hoe ze de uitkomsten kunnen vertalen naar uitvoerbare beslissingen, zullen de meest gevraagde cybersecurity-experts worden.
Voor directies is de strategische implicatie eenvoudig. De cybersecurity-expert, die zich blijft specialiseren en vaardigheden blijft ontwikkelen, is niet langer een luxe in de externe talentenpool. Ze worden net zo onmisbaar voor de operationele continuïteit als juridisch adviseurs of financiële controllers. De organisaties die gisteren al zochten naar de juiste cybersecurity-experts zijn aanzienlijk beter gepositioneerd om in te spelen op de kansen en dreigingen van Cyber-AI.
