De dag waarop AI te gevaarlijk werd voor de wereld.

Stel je voor: een beveiligingsfout zit zevenentwintig jaar verborgen in software die door miljoenen servers wereldwijd wordt gebruikt. Vijf miljoen geautomatiseerde scans passeren eroverheen. Menselijke auditors kijken ernaar en zien niets. Dan komt een AI-model en vindt hem in dagen.

Dat is wat Claude Mythos deed. Het is het nieuwste model van het Amerikaanse AI-lab Anthropic. Het werd op 7 april uitsluitend gelanceerd voor een gesloten groep van veertig organisaties (CNBC, 10 april 2026). De reden: het model ontdekt autonoom beveiligingslekken in vrijwel elk besturingssysteem en elke webbrowser ter wereld (The Telegraph, 10 april 2026).

De kwetsbaarheden zijn geen triviale bugs. Een 27-jarige fout in OpenBSD — een van de meest beveiligde besturingssystemen ter wereld — had vijf miljoen geautomatiseerde scans overleefd (VentureBeat, 10 april 2026). Twee speciaal geconstrueerde datapakketten volstaan om elke server neer te halen. Mythos vond hem. CVE-2026-4747, een kwetsbaarheid in FreeBSD die volledige servercontrole geeft zonder authenticatie, staat inmiddels geregistreerd op de NIST National Vulnerability Database (NIST NVD, april 2026).

Dit is geen nieuw fenomeen. Het is een versnelling van iets dat al gaande was. In november 2025 onthulde Anthropic dat een Chinese, door de staat gesponsorde hackergroep zijn eerdere modellen inzette bij aanvallen op dertig organisaties (Anthropic, november 2025). Dat waren zwakkere modellen. Mythos is een orde van grootte krachtiger.

De marktimplicaties zijn tweeledig. Op korte termijn profiteren cybersecuritybedrijven. UBS verwacht dat Project Glasswing — het initiatief waarmee Anthropic vroege toegang tot Mythos verleent — de beveiligingsuitgaven sectorbreed versnelt (Prism News, 11 april 2026). Op langere termijn kantelt de structurele verhouding. De kosten voor geavanceerde cyberaanvallen dalen. Defensiekosten stijgen. Kritische bankinfrastructuur — betalingssystemen, handelsplatforms, marktdatafeeds — draait op precies de omgevingen die Mythos heeft leren aanvallen (WION News, 10 april 2026).

De psychologische dimensie is de meest onderschatte. Financiële systemen werken op collectief vertrouwen, niet op technische perfectie. Dit is kuddegedrag: zodra één instelling zichtbaar kwetsbaar blijkt, vluchten andere marktpartijen preventief — niet omdat het systeem feitelijk instort, maar omdat iedereen verwacht dat de rest ook zal vluchten. Die verwachting maakt de crisis zelf. TD Securities-analist Jaret Seiberg stelde het direct: als Mythos kwaadwillenden helpt kwetsbaarheden sneller te vinden dan banken ze kunnen dichten, dreigt een vertrouwenscrisis in het vermogen om het systeem te beschermen (Prism News, 11 april 2026).

De consensus is dat Mythos een cybersecurityprobleem is dat regulators en techbedrijven samen kunnen oplossen. Maar de data suggereert dat het primair een geopolitiek probleem is — en dat is geen toeval. Het framing-effect zorgt ervoor dat beleidsmakers Mythos automatisch indelen als beveiligingsvraagstuk, waardoor ze automatisch de oplossingen activeren die daarbij horen: wetgeving, patches, protocollen. Die kaders zijn nationaal. De dreiging is statelijk. Dat verschil is niet technisch. Het is het verschil tussen een probleem dat je kunt reguleren en een probleem dat je kunt verliezen.

Hacking-groepen gelieerd aan de Chinese overheid misbruikten al eerdere Claude-modellen voor aanvallen op westerse overheden en banken (Anthropic, november 2025). Mythos is exponentieel krachtiger. De race is niet wie zijn banken het best beschermt. De race is welke staat als eerste over deze capaciteit beschikt én bereid is hem in te zetten. Powell en Bessent praten over cyberbeveiliging. Wat ze feitelijk bespreken, is digitale geopolitiek. De meeste bankiers in die vergaderzaal hebben daar geen kader voor.

Dit getal maakt het abstracte concreet. Het laat zien hoe fundamenteel de verhouding tussen aanvaller en verdediger is verschoven.

27

Het aantal jaren dat de zwaarste kwetsbaarheid die Mythos ontdekte onopgemerkt zat in OpenBSD (VentureBeat, 10 april 2026). De fout overleefde vijf miljoen geautomatiseerde scans. Simpel gezegd: alle bestaande beveiligingstools misten hem, omdat ze niet kunnen redeneren over hoe softwareonderdelen samenwerken onder aanval. Mythos kan dat wel. Ter vergelijking: CrowdStrike rapporteerde in 2026 een gemiddelde aanvalstijd van 29 minuten per inbreuk — 65% sneller dan twee jaar eerder, met een stijging van 89% in AI-aangedreven aanvallen (CrowdStrike, Global Threat Report 2026). Mythos vervangt maanden staatshackerwerk door een campagne van enkele dagen voor twintigduizend dollar (VentureBeat, 10 april 2026).

17 april — De Europese Centrale Bank (de instelling die de rente bepaalt voor de negentien landen in de eurozone) publiceert haar rentebesluit · Impact: hoog

22–25 april — Het IMF en de Wereldbank (de twee grootste internationale financiële instellingen) houden hun voorjaarsvergadering in Washington · Impact: hoog

~23 april — De Bank of England (de Britse centrale bank) bespreekt de Mythos-dreiging met topbestuurders van Britse banken en verzekeraars · Impact: hoog

24 april — Goldman Sachs en Citigroup publiceren hun kwartaalcijfers over Q1 2026 · Impact: hoog

Q2 2026 — DNB (De Nederlandsche Bank, toezichthouder op Nederlandse banken en verzekeraars) verscherpt het toezicht op AI-gebruik en cyberweerbaarheid bij grootbanken · Impact: medium

De meeste analyses over Mythos missen één van drie perspectieven: het geopolitieke, het technische of het regulatoire. Deze drie stukken laten elk zien waarom Mythos geen cybersecurityprobleem is dat wetgeving kan oplossen — maar een staatsprobleem dat zich aan nationale controle onttrekt.

"Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks" — CNBC, 10 April 2026. De nauwkeurigste reconstructie van wat er achter gesloten deuren in Washington besproken werd.

"Mythos autonomously exploited vulnerabilities that survived 27 years of human review" — VentureBeat, 10 April 2026. De technisch sterkste analyse, inclusief de conclusie dat goedkope open-source-modellen al acht van de negen Mythos-kwetsbaarheden konden repliceren.

"DNB zet in 2026 in op AI en cyberweerbaarheid" — InFinance op basis van DNB Toezicht in Beeld, 24 februari 2026. Het referentiedocument voor wie wil begrijpen wat de Nederlandse toezichthouder wél en nog níet heeft ingepland voor precies dit scenario.

Wie in jouw bedrijf weet hoeveel jaar oud de kwetsbaarste server is waarop jullie systemen draaien?

— Alec