EU chipstrategie 2026: onmisbaarheid vervangt zelfvoorziening

Linda: Welkom bij The State of Tech, donderdag 14 mei 2026. Ik ben Linda Duursma.

Erik: En ik ben Erik Van Doorn. Vandaag: een zero-day exploit die waarschijnlijk door AI is gebouwd, Microsoft dat waarschuwt dat Patch Tuesday alleen maar zwaarder wordt, CISA en de G7 die transparantie-regels lanceren voor AI-toeleveringsketens, Europa dat zijn chipstrategie omgooit van zelfvoorziening naar onmisbaarheid, plus twee dingen om vandaag uit te proberen: de nieuwe AI-functies in Samsungs smart-tv's en een handige check om audio-deepfakes te herkennen. We beginnen met die door AI gebouwde zero-day.

Google meldt eerste zero-day exploit die waarschijnlijk met behulp van AI is ontwikkeld.

Linda: Google's Threat Intelligence Group heeft een grens zien overschrijden die security-onderzoekers al maanden zagen aankomen. Een aanvaller heeft een tot dan toe onbekend lek gebruikt in een populaire open-source beheertool, en alles wijst erop dat dat lek met hulp van AI is gevonden en omgezet in een werkende aanval. De exploit omzeilde tweefactor-authenticatie, dus die extra code uit je app of via sms.

Erik: Het bijzondere zit hem niet in de aanval zelf, maar in het type fout dat werd gevonden. Het gaat om een semantische logica-fout, een denkfout in hoe de code redeneert. Geen klassiek bufferprobleem dat een scanner er zo uit haalt, maar precies het soort kwetsbaarheid dat menselijke reviewers vaak missen omdat het oogt als geldige code. Een AI-model dat duizenden regels tegelijk kan doorgronden, ziet die patronen wél.

Linda: En daar zit de echte verschuiving. Tot nu toe gebruikten aanvallers AI vooral voor de buitenkant: betere phishing-mails, overtuigender Nederlands, snellere vertalingen. Dit is de eerste keer dat Google met droge ogen zegt dat AI waarschijnlijk is ingezet voor de kern van het ambacht: het ontdekken en wapenen van een onbekende fout.

Erik: De economie van zero-days verandert daarmee. Zo'n kwetsbaarheid was tot voor kort iets waar gespecialiseerde teams maanden over deden. Als AI dat werk versnelt, krijgen we meer zero-days, vaker, en bij kleinere doelwitten. Niet alleen banken en overheden, maar ook de open-source tools die middelgrote bedrijven en gemeenten in hun infrastructuur draaien.

Linda: Voor Nederlandse organisaties betekent dit dat het draaiboek voor patchen omhoog moet. Het Nationaal Cyber Security Centrum hamert daar al langer op, maar de tijd tussen "lek bekend" en "lek misbruikt" wordt korter. Wat vroeger weken duurde, kan nu dagen zijn.

Erik: En tweefactor-authenticatie blijft een goede laag, maar het is geen wondermiddel meer. Deze aanval omzeilde precies dat mechanisme. Wat overblijft is wat saaier klinkt: tijdig updaten, netwerken opdelen, en weten welke open-source pakketten je eigenlijk allemaal draait. Dat laatste is een bruggetje naar het volgende onderwerp.

Microsoft waarschuwt dat Patch Tuesday structureel zwaarder wordt door AI-gedreven bug-jacht.

Erik: Microsoft komt vandaag met een opmerkelijke boodschap aan zijn eigen klanten: reken erop dat de maandelijkse patch-ronde, Patch Tuesday, groter en frequenter wordt. Tom Gallagher van Microsofts security-team zegt dat er een kantelpunt is bereikt: zowel interne onderzoekers als externe security-bedrijven gebruiken nu AI om in machinetempo zwakheden in code te vinden.

Linda: Dat is een ongebruikelijk eerlijk verhaal van een bedrijf dat normaal liever zegt dat alles veiliger wordt. De boodschap is eigenlijk: omdat we zélf met AI beter zoeken, vinden we meer. En tegelijk vinden de slechteriken óók meer, met dezelfde technologie. Dus de stroom updates wordt aan beide kanten opgevoerd.

Erik: Wat dit voor IT-afdelingen betekent is concreet. Patch Tuesday was al een drukke dag, één keer per maand. Microsoft houdt nu rekening met meer noodpatches buiten dat ritme om, de zogenaamde out-of-band updates. Voor beheerders betekent dat: minder voorspelbaarheid, meer onverwachte werk-avonden.

Linda: En het sluit precies aan op het Google-verhaal van zojuist. Daar werd een lek gevonden, hier zien we het systeem dat ze moet patchen. Microsoft erkent dus impliciet dat we naar een tijdperk gaan waarin het tempo van ontdekken hoger ligt dan het comfortabele tempo van uitrollen.

Erik: De vraag wordt of bedrijven hun patch-processen kunnen automatiseren. Veel Nederlandse organisaties testen updates nog handmatig voordat ze uitrollen, juist om productieproblemen te voorkomen. Als het aantal updates verdubbelt, knelt dat model. Ofwel je accepteert meer risico, ofwel je investeert in geautomatiseerde test- en uitrolstraten.

Linda: En voor de gemiddelde gebruiker: laat die automatische updates aanstaan. Het klinkt als een open deur, maar de groep mensen die updates eindeloos uitstelt is groter dan je denkt. In deze nieuwe ritmiek is uitstellen geen optie meer.

Linda: Even een kleine onderbreking. Luister je vaker naar The State of Tech? Druk dan op de likeknop en abonneer je, zodat je nooit een aflevering mist. Oké, verder.

CISA en G7-partners presenteren transparantie-richtlijnen voor AI-toeleveringsketens.

Erik: Het Amerikaanse cyber-agentschap see-ie-es-aa heeft samen met G7-partners, waaronder Duitsland, Canada en de Europese Unie, een gezamenlijke richtlijn uitgebracht voor AI-toeleveringsketens. De kern is een soort ingrediëntenlijst voor AI-systemen. Welke modellen, welke datasets, welke onderdelen zitten erin, en waar komen ze vandaan.

Linda: Dat concept, een Software Bill of Materials, kennen we al uit gewone software. Het is een lijst van alle bouwstenen, zoals een ingrediëntenetiket op een pak koekjes. Wat nieuw is, is dat de G7 nu zegt: voor AI-systemen hebben we óók zo'n etiket nodig, want anders weet niemand wat er precies in een model zit.

Erik: Het ongebruikelijke is dat de Verenigde Staten, de Europese Unie, Canada en Duitsland hier op één lijn zitten. Het Witte Huis en Brussel staan op AI-regulering vaak diametraal tegenover elkaar, maar transparantie van toeleveringsketens wordt door iedereen als basisvereiste gezien. Politiek het laaghangend fruit, maar wel met impact.

Linda: Voor Nederlandse bedrijven die AI inkopen wordt dit relevant. Als je over een jaar of twee een AI-dienst aanschaft, mag je verwachten dat de leverancier kan vertellen welke modellen erin zitten en op welke data ze getraind zijn. Dat is nu vaak een blackbox, met een verkoper die zegt "het is van ons en het werkt".

Erik: En het raakt direct aan het zero-day-verhaal van eerder. Als je niet weet welke open-source AI-componenten in je systeem zitten, weet je ook niet of een nieuwe kwetsbaarheid jou raakt. Een ingrediëntenlijst is geen luxe, het is straks de enige manier om snel te kunnen reageren als ergens iets misgaat.

Linda: De richtlijn is op zich niet bindend, het is een aanbeveling. Maar dit soort gezamenlijke G7-stappen wordt vaak binnen één tot twee jaar omgezet in concrete inkoopvoorwaarden bij overheden. En als de Nederlandse rijksoverheid het straks eist, volgt de markt vanzelf.

Europese Commissie herziet chipstrategie en kiest voor onmisbaarheid in plaats van zelfvoorziening.

Erik: Brussel werkt aan een herziening van de European Chips Act, in de wandelgangen al Chips Act 2 genoemd. De kern: Europa stopt met de illusie dat het op chipgebied zelfvoorzienend kan worden, en gaat in plaats daarvan inzetten op onmisbaarheid. Anders gezegd: zorg dat de rest van de wereld iets van jou nódig heeft.

Linda: Dat is een opmerkelijk realistische bocht. Toen de eerste Chips Act in 2023 werd gelanceerd, ging het nog over twintig procent marktaandeel halen tegen 2030. Dat doel wordt nu impliciet losgelaten. De nieuwe lijn: investeer waar Europa al uniek is, in plaats van overal een beetje proberen mee te doen.

Erik: En dat uniek-zijn is voor Nederland heel concreet ASML in Veldhoven. De machines die de allerkleinste chips kunnen maken, komen exclusief daar vandaan. Brussel wil dat soort knelpunten beschermen en uitbouwen, in plaats van geld te verspreiden over twintig kleinere initiatieven die internationaal niet meekomen.

Linda: Tegelijk speelt geopolitiek mee. De Amerikaanse exportcontroles op geavanceerde chipmachines vereisen Nederlandse medewerking, omdat de technologie hier zit. Dat geeft Den Haag een onderhandelingspositie, maar het zet ook druk: als Nederland niet meedoet aan Amerikaanse beperkingen richting China, ontstaat er spanning binnen de bondgenotenkring.

Erik: De herziening hamert ook op gedisciplineerde staatssteun. Geen prestige-fabrieken meer waar elk land er eentje wil, maar gecoördineerde investeringen. Of dat in de praktijk lukt is de vraag, want elk hoofdstad wil graag een fabriek met linten en camera's.

Linda: Voor de Nederlandse economie is dit goed nieuws en risico tegelijk. Goed nieuws omdat onze positie wordt erkend en beschermd. Risico omdat we daarmee nóg meer in de geopolitieke spotlight komen te staan, met alle exportbeperkingen en handelsspanningen die daarbij horen.

Samsungs nieuwe smart-tv's krijgen brede AI-functies, van upscaling tot voetbal-modus.

Linda: Tijd voor twee dingen waar je vandaag iets mee kunt. Samsung heeft zijn smart-tv-lijn voor 2026 onthuld, en de rode draad is AI in de huiskamer. De Vision AI Companion is een soort assistent die in de tv zit en kan helpen met film- en muziekkeuzes, maar ook met maaltijdplanning. Vraag wat je kunt koken met wat er in de koelkast ligt, en de tv denkt mee.

Erik: De praktisch interessantste functie zit in het beeld zelf. Upscaling Pro gebruikt AI om oudere of lagere-resolutie beelden op te schalen naar de scherpte van je 4K-scherm. Voor mensen met een grote tv en een Netflix-abonnement met een lager kwaliteits-niveau, of voor dvd's en oude opnames, kan dat zichtbaar verschil maken.

Linda: Voor het WK voetbal komt er een speciale AI Soccer Mode, die wedstrijdbeelden analyseert om de bal vloeiender in beeld te houden en het geluid beter te scheiden. Je kunt zelfs het commentaar uitfilteren als je liever alleen het stadiongeluid hoort. Voor de puristen onder ons een serieus pluspunt.

Erik: En het opvallende: deze AI-functies zitten niet alleen in de duurste modellen. Ook de betaalbaardere Mini LED-tv's krijgen Samsungs nieuwe AI-processor en een 144 hertz-modus, wat vooral gamers zal aanspreken. De vraag is natuurlijk: wat kost zo'n tv? Voor de instapmodellen in deze nieuwe lijn moet je rekenen op vergelijkbare prijzen als vorig jaar, dus geen wilde sprongen.

Linda: Wat je vandaag kunt doen: als je een Samsung-tv hebt van de laatste twee, drie jaar, check via de menu-instellingen of er een firmware-update klaarstaat. Een deel van de Vision AI-functies wordt namelijk gefaseerd uitgerold naar bestaande modellen, en niet iedereen krijgt dat automatisch. Een handmatige update-check kost vijf minuten.

Erik: En voor wie nadenkt over een nieuwe tv: het loont om te wachten tot de modellen daadwerkelijk in de winkel liggen, vermoedelijk over enkele weken. De eerste reviews van onafhankelijke testers zijn meestal binnen een maand na lancering beschikbaar, en die laten zien of de AI-claims ook in de praktijk waarmaken.

Audio-deepfake van Thaise vice-premier toont hoe makkelijk valse stemmen circuleren.

Erik: Tot slot een verhaal dat aanleiding geeft tot een praktische tip. In Thailand circuleerde audio waarin vice-premier Anutin Charnvirakul uitspraken zou doen die hij nooit heeft gedaan. Hij ontkende fel en waarschuwde dat het AI-gegenereerd is. Dit type incident zien we wereldwijd steeds vaker, en de techniek om zo'n stem na te maken is laagdrempelig geworden.

Linda: Het concrete waar je vandaag iets mee kunt: er zijn gratis online tools waarmee je een audiofragment kunt checken op kenmerken van AI-generatie. ElevenLabs, een van de grootste aanbieders van stem-AI, heeft een gratis classifier waar je een geluidsbestand kunt uploaden om te zien of het waarschijnlijk door hun systeem is gemaakt. Niet waterdicht, maar wel een eerste indicatie.

Erik: Daarnaast biedt Hiya een gratis browser-extensie die audiofragmenten op websites of in podcasts kan analyseren op AI-kenmerken. Even installeren in Chrome of Edge, en je hebt een extra check als je twijfelt over een viraal stemfragment van een bekende politicus of CEO.

Linda: De belangrijkste les blijft alledaags: vertrouw geen audio die rondgaat zonder bron. Als oma gebeld wordt door iemand die klinkt als haar kleinzoon en geld vraagt, hang op en bel zelf terug op het bekende nummer. Dat is geen tech-tip, dat is gewoon goed gedrag in een tijd waarin stemmen niet meer betrouwbaar zijn als identiteit.

Erik: De Nederlandse Fraudehelpdesk meldt al langer een stijging van zogenaamde stem-fraude. Met deze gratis tools en een afgesproken codewoord binnen je gezin ben je beter beschermd dan met technologie alleen. Vijf minuten investeren in zo'n afspraak voorkomt veel ellende.

Linda: Vandaag hadden we het over: een door AI gebouwde zero-day exploit, Microsoft dat waarschuwt voor een zwaardere Patch Tuesday, een transparantie-richtlijn voor AI van CISA en de G7, Europa's nieuwe chipstrategie van onmisbaarheid, Samsungs AI-tv's en tot slot tools om audio-deepfakes te herkennen.

Erik: Meer weten of reageren? Ga naar thestateoftech.nl of mail ons op info@doorzetters.net.

Erik: State of Tech, de techwereld in 15 minuten.