DATE

April 10, 2026

SHARE

Uw bedrijf is nu doelwit van cyberwapens die alleen geheime diensten zich konden veroorloven

In software geldt een perverse logica: hoe langer een fout onopgemerkt blijft, hoe waardevoller die fout wordt. Niet voor de producent van de software, maar voor de aanvaller die ze vindt.

De loper die past op elk slot

We noemen dat een zero-day-kwetsbaarheid, een lek dat de maker van de software zelf nog niet kent. Er is geen update of bescherming beschikbaar. Wie zo’n kwetsbaarheid in handen heeft, kan ongemerkt binnenkomen bij elk bedrijf dat die software draait. Natiestaten en geheime diensten betalen er op de zwarte markt honderdduizenden tot miljoenen dollars voor. Het is het digitale equivalent van een loper die past op elk slot in het gebouw, zonder dat de eigenaar weet dat die loper bestaat.

De eerste verdedigingslijn tegen zo’n loper is snelheid. De softwareleverancier moet het lek vinden en dichten. Bedrijven moeten de update doorvoeren. Die snelheid was al een probleem en is met de komst van AI exponentieel toegenomen.

500 kwetsbaarheden in een paar uur

In februari publiceerde het onderzoeksteam van Anthropic, bekend van hun AI-chatbot Claude, een rapport waaruit blijkt dat hun AI-model Opus 4.6 meer dan 500 zero-day-kwetsbaarheden had gevonden in productiesoftware. Lekken waar menselijke experts al meer dan tien jaar, soms meer dan twintig jaar, overheen keken. Het AI-model vond ze in een paar uur.

Het rapport maakt het verschil tussen een AI-model en een menselijke hacker tastbaar. Die laatste heeft slaap nodig, heeft een beperkt werkgeheugen en kan maar één lek tegelijk onderzoeken. Een AI-model is onvermoeibaar. Het zoekt dag en nacht, in elke hoek van elke codebase, en het doet dat voor een fractie van wat een geheime dienst ooit betaalde voor één enkel lek.

Een menselijke hacker heeft slaap nodig, heeft een beperkt werkgeheugen en kan maar één lek tegelijk onderzoeken. Een AI-model is onvermoeibaar. Het zoekt dag en nacht, in elke hoek van elke codebase, en het doet dat voor een fractie van wat een geheime dienst ooit betaalde voor één enkel lek.

Een paniekreactie van de grote spelers

Deze week bevestigde Anthropic onrechtstreeks hoe groot het probleem is. Het bedrijf stopt de uitrol van Mythos, zijn nieuwste en krachtigste AI-model, omdat het nog beter is in het vinden én uitbuiten van kwetsbaarheden dan zijn voorganger. In één adem lanceert Anthropic Project Glasswing: het stelt 100 miljoen dollar aan rekencapaciteit ter beschikking, zodat techbedrijven als Amazon, Apple, Google, Microsoft en Nvidia en cyberbeveiligingsspelers als CrowdStrike en Palo Alto Networks kwetsbaarheden kunnen opsporen voor ze worden misbruikt.

Dat de grootste techbedrijven en cyberbeveiligingsspelers ter wereld zich op deze manier verenigen, is geen gecontroleerd initiatief. Het is een paniekreactie. Die bedrijven beseffen dat ze een geest uit de fles hebben gelaten die ze niet meer alleen onder controle krijgen.

De cascade die elk bedrijf raakt

En dan begint de cascade die elk bedrijf raakt. De producenten van software, denk aan bedrijven als Microsoft, moeten voor elk gevonden lek een patch ontwikkelen, testen en uitrollen. Ik benadruk nog eens: dat lukte al amper op het oude tempo. Op de schaal waarop AI nu kwetsbaarheden vindt, is dat onbegonnen werk.

Vervolgens moeten bedrijven die patches installeren. In de praktijk duurt dat weken. Soms maanden. Updates worden uitgesteld omdat er een deadline nadert, omdat niemand precies weet wat er breekt als het systeem herstart, of simpelweg omdat collega’s zich afvragen waarom ze hun laptop nu wéér moeten heropstarten. En dan zijn er de systemen die al jaren niet meer gepatcht zijn, omdat niemand het risico wil nemen om ze offline te halen.

Wacht niet op resultaten van marketinginitiatieven zoals Project Glasswing. Elk systeem waar uw organisatie op draait, van uw ERP tot uw klantenportalen tot de software van uw toeleveranciers, is een potentieel doelwit van wapens die alleen geheime diensten zich konden veroorloven. Ga ervan uit dat het al tegen u is gebruikt.

Leveranciers kunnen niet snel genoeg patchen. U kunt niet snel genoeg uitrollen. En exploits zijn beschikbaar op het moment dat een kwetsbaarheid wordt ontdekt.

In risicotermen: waarschijnlijkheid is geen variabele meer. Ze is in de praktijk gelijk aan 1. Elke niet-gepatchte kwetsbaarheid is een actieve blootstelling – geen beheerd risico.

Wat dit in de praktijk vraagt

  • Geef prioriteit aan detectie en beheersbaarheid, naast preventie. Niet alleen “zijn we beschermd?”, maar “zouden we het merken, en hoe snel kunnen we reageren?”

  • Verkort patch implementatietijd, maar bouw uw weerbaarheid er niet op. Patchen blijft essentieel. Het is niet langer voldoende.
  • Valideer uw beveiligingsmaatregelen continu. Aanhoudende zichtbaarheid over uw volledige softwareomgeving – inclusief leveranciers en toeleveringsketens – is de nieuwe norm.
  • Herzie uw risicoregister op basis van een waarschijnlijkheid van bijna 100%. Niet-gepatchte kritieke kwetsbaarheden zijn actieve blootstellingen.

  • Test uw respons, niet alleen uw verdediging. Op tijdlijnen die AI-snelheidsaanvallen weerspiegelen, niet aanvallen op menselijke snelheid.

De organisaties die dit overleven, zijn degenen die gestopt zijn met vragen “zouden we gehackt kunnen worden?” en begonnen zijn met vragen “zijn we klaar voor wanneer dat gebeurt?”

De tijd dringt.

Ready to make cybersecurity real?
Join Secamo!