Anthropic Mythos: 10.000 bugs en een certificaatlek

Linda: Welkom bij The State of Tech, zondag 24 mei 2026. Ik ben Linda Duursma.

Erik: En ik ben Erik Van Doorn. Vandaag: Anthropics nieuwe AI vindt tienduizend zware softwarelekken, Nepal bouwt een eigen AI-fabriek voor digitale soevereiniteit, AI-aanvallen op smartphones lopen volledig uit de hand, en een groot lek in certificaten zet banken en mailproviders op scherp. Plus twee dingen om vandaag uit te proberen: een gratis tool die phishing-berichten op je telefoon herkent, en een handige browser-feature die QR-codes vooraf controleert. We beginnen met Anthropic en die tienduizend bugs.

Anthropics AI-model Mythos legt meer dan tienduizend ernstige softwarefouten bloot in kritieke systemen.

Linda: Anthropic, het Amerikaanse AI-bedrijf achter chatbot Claude, heeft vandaag cijfers naar buiten gebracht die nogal indrukwekkend zijn. Hun AI-model Mythos, ook wel Project Glasswing genoemd, heeft samen met geselecteerde partners meer dan tienduizend ernstige beveiligingslekken opgespoord in software die we dagelijks gebruiken. In duizend open source projecten alleen al vond het model 6.202 kritieke fouten. Dat is een enorme hoeveelheid.

Erik: En het bleef niet bij stilletjes bugs aanwijzen. Het model wist ook zelf een aanval in elkaar te zetten die het mogelijk maakt om digitale certificaten te vervalsen. Met zo'n vervalst certificaat kan een aanvaller zich voordoen als je bank of je mailprovider, en jij ziet in je browser gewoon het slotje. Anthropic gaat de komende weken een technische analyse publiceren van de kwetsbaarheid die hierachter zit, geregistreerd als CVE-2026-5194.

Linda: Wat dit zo bijzonder maakt: tot voor kort was het vinden van dit soort lekken handwerk van zeer ervaren beveiligingsonderzoekers. Een AI die in duizend projecten parallel kan zoeken en ook nog een werkende aanval kan bouwen, verandert het tempo van die wereld compleet.

Erik: Tegelijk is er een keerzijde. Dezelfde techniek die Anthropic gebruikt om lekken te vinden en te dichten, kunnen kwaadwillenden inzetten om ze juist te misbruiken. De vraag is wie sneller is, de verdediger of de aanvaller. Anthropic kiest er nu voor om hun bevindingen via verantwoorde melding te delen met de software-eigenaren, voordat ze publiek worden.

Linda: Voor Nederlandse organisaties is dit een wake-up call. Het Nationaal Cyber Security Centrum waarschuwt al langer dat aanvallers steeds vaker AI inzetten. Maar het omgekeerde geldt ook: Nederlandse banken, ziekenhuizen en gemeenten kunnen deze tools gaan gebruiken om hun eigen code door te lichten. De voorsprong gaat naar wie het eerst durft.

Erik: En dat raakt direct de discussie over die certificaten. Als je inlogt bij je bank of bij DigiD, vertrouw je op zo'n certificaat. Als dat systeem onder druk komt, raakt dat iedereen die in Nederland digitaal zaken doet met de overheid of zijn bank. Het ministerie van Binnenlandse Zaken zal hier scherp naar moeten kijken.

Nepal wil een eigen AI-fabriek bouwen om niet langer afhankelijk te zijn van buitenlandse techreuzen.

Erik: Nepal, een land dat we niet meteen associëren met AI-infrastructuur, heeft plannen aangekondigd voor wat ze zelf een soevereine AI-fabriek noemen. Het gaat om een datacenter met ongeveer tien megawatt vermogen en zo'n drieduizend grafische chips, de zware GPU's die je nodig hebt om AI-modellen te trainen. De geschatte bouwkosten liggen rond honderd miljoen dollar.

Linda: En de verwachte opbrengst is interessant. De Nepalese overheid rekent erop dat zo'n centrum jaarlijks meer dan honderd miljoen dollar kan opleveren aan rekenwaarde en digitale diensten. Het idee is simpel: niet je data en je waarde laten weglekken naar Amerikaanse of Chinese cloudbedrijven, maar het in eigen land houden.

Erik: Het past in een bredere trend. Steeds meer kleinere landen kijken naar AI-infrastructuur als een soort nieuwe nutsvoorziening, vergelijkbaar met elektriciteit of waterleiding. Als je het niet hebt, ben je afhankelijk. En afhankelijkheid betekent dat je de regels van iemand anders accepteert.

Linda: Wat opvallend is, is de omvang. Drieduizend GPU's klinkt veel, maar het is een fractie van wat een bedrijf als OpenAI of Google in een enkel datacenter heeft staan. Toch kan het voor een land als Nepal genoeg zijn om eigen taalmodellen te trainen en lokale diensten te draaien.

Erik: Voor Nederland en Europa is dit een spiegel. We praten al jaren over Europese cloud-soevereiniteit, met GAIA-X en vergelijkbare initiatieven, maar de uitvoering blijft achter. Als zelfs Nepal stappen zet, wordt de vraag urgent wat Nederland concreet doet om zijn eigen AI-infrastructuur op te bouwen.

Linda: Microsoft en Google hebben datacenters in onder meer Middenmeer en de Wieringermeer, maar dat zijn buitenlandse partijen. Een echt Nederlandse of Europese AI-fabriek, met Europese chips en Europese modellen, bestaat nog niet op die schaal. Nepal laat zien dat het bedrag waar je het mee kunt opstarten lager ligt dan veel mensen denken.

Linda: Even een kleine onderbreking. Luister je vaker naar The State of Tech? Druk dan op de likeknop en abonneer je, zodat je nooit een aflevering mist. Oké, verder.

AI-gestuurde cyberaanvallen op smartphones bereiken nieuwe recordhoogtes in 2026.

Erik: De cijfers liegen er niet om. Beveiligingsonderzoekers verwachten dat de schade door cyberaanvallen via smartphones dit jaar oploopt tot ruim vierhonderd miljard euro wereldwijd. En 86 procent van alle phishing-campagnes draait inmiddels op AI. Dat betekent dagelijks ongeveer 3,4 miljard schadelijke berichten die de wereld in gaan.

Linda: En de aanvallen worden gerichter. Banking-trojans, dus stiekeme apps die je bankgegevens stelen, lieten in het eerste kwartaal van dit jaar een stijging zien van 196 procent, naar 1,24 miljoen geregistreerde gevallen. Nieuwe varianten zoals DevilNFC mikken specifiek op contactloos betalen via je telefoon. Dus als je in de supermarkt je toestel tegen het pinapparaat houdt, kan daar nu malware op gericht zijn.

Erik: Een andere trend is wat ze quishing noemen, een samentrekking van QR en phishing. Mensen scannen een QR-code op een parkeerautomaat of in een restaurant en belanden op een nepwebsite. Die vorm groeide met 150 procent. AI maakt het makkelijk om die nepwebsites realistisch te laten lijken, inclusief het juiste logo en de juiste vormgeving.

Linda: Wat dit gevaarlijk maakt, is dat AI de fouten weghaalt waar we vroeger phishing aan herkenden. Geen rare spelfouten meer, geen vreemde formuleringen. Een AI-gegenereerd bericht van je bank klinkt precies zoals een bericht van je bank zou klinken, met jouw naam erin, en soms zelfs verwijzingen naar recente betalingen.

Erik: Voor Nederland is dit acuut. De Nederlandse Vereniging van Banken meldt al langer dat fraude via mobiel bankieren toeneemt. ING, ABN AMRO en Rabobank waarschuwen klanten vrijwel wekelijks. De vraag is of de huidige beveiligingsmaatregelen, zoals tweestapsverificatie en push-meldingen, nog voldoende zijn als de aanvaller een AI is die je gedrag bestudeert.

Linda: Praktisch advies blijft hetzelfde, maar wordt belangrijker: klik niet op links in berichten, zelfs niet als ze van je bank lijken te komen. Open de app rechtstreeks. En scan geen QR-codes op plekken waar iemand een sticker overheen heeft kunnen plakken, zoals parkeerautomaten of openbare laadpalen.

Het door Mythos onthulde certificaatlek dwingt banken en mailproviders tot snelle actie.

Linda: We komen nog even terug op de Anthropic-onthulling, omdat één specifiek lek zo groot is dat het apart aandacht verdient. Mythos vond een manier om wat we cryptografische sleutels noemen te misbruiken, de wiskundige codes waarmee je browser controleert of een website echt is wie hij zegt te zijn.

Erik: Concreet: als je naar de website van je bank gaat, controleert je browser of het certificaat klopt. Werkt dat goed, dan zie je een slotje. Met dit lek kan een aanvaller een vals certificaat maken dat er voor je browser uitziet alsof het echt is. Je ziet het slotje, je vertrouwt het, en je tikt je inloggegevens in op een nepsite.

Linda: Anthropic houdt de technische details nog even achter de hand, om software-eigenaren tijd te geven het lek te dichten. Maar dat is een race tegen de klok. Zodra de details publiek zijn, kunnen criminele groepen ermee aan de slag, en de geschiedenis leert dat dat snel gebeurt.

Erik: Wat dit verhaal extra urgent maakt, is dat het lek raakt aan een fundament van het internet. Niet één app of één bedrijf, maar het hele systeem waarmee we vertrouwen vaststellen tussen browser en website. Mailproviders, banken, overheidsdiensten, ze hangen allemaal aan deze techniek.

Linda: Het Nationaal Cyber Security Centrum heeft niet specifiek op deze melding gereageerd, maar het verleden laat zien dat dit soort kwetsbaarheden meestal binnen dagen door grote softwareleveranciers worden gepatcht. Voor gebruikers betekent het concreet: zorg dat je browser en je besturingssysteem deze week worden bijgewerkt. Klinkt saai, maar het is je belangrijkste verdediging.

Erik: En voor Nederlandse bedrijven die zelf certificaten beheren, bijvoorbeeld voor interne systemen of klantportalen, is het zaak om vandaag al contact op te nemen met hun beveiligingsleverancier. Wachten tot de details publiek zijn is geen optie meer.

Erik: Tot slot twee dingen waar je vandaag iets mee kunt.

Een gratis app die berichten op je telefoon scant op AI-gegenereerde phishing.

Linda: Gezien het verhaal dat we net hadden over de explosie aan AI-phishing op smartphones, is dit handig. Er zijn nu gratis apps die meeluisteren met je sms-berichten en je mails, en je waarschuwen als een bericht waarschijnlijk door AI is gegenereerd of doorverwijst naar een verdachte site. Bekende voorbeelden zijn Bitdefender Mobile Security en de gratis variant van Malwarebytes.

Erik: De installatie kost vijf minuten. Je downloadt de app uit de Google Play Store of Apple App Store, geeft toestemming om berichten te scannen, en daarna draait het op de achtergrond. Belangrijk om te weten: deze apps lezen geen inhoud die je terugstuurt naar de leverancier, ze controleren alleen lokaal op je toestel of een link of bericht verdacht is.

Linda: Voor wie net iets meer wil: de betaalde varianten kosten ongeveer drie euro per maand en voegen zaken toe zoals een VPN en bescherming op openbare wifi-netwerken. Maar de gratis versies zijn genoeg om de meest voorkomende AI-phishing te onderscheppen.

Erik: Toets even of de app die je kiest een goede reputatie heeft. In de App Store en Play Store staan helaas ook nepapps die zich voordoen als beveiligingstool maar zelf malware bevatten. Kies altijd een naam die je herkent, met honderdduizenden downloads en recente updates.

Browserextensies en telefooncamera-apps die QR-codes vooraf controleren op nepwebsites.

Linda: De standaard camera-app van je telefoon scant een QR-code en stuurt je meestal direct door naar een website. Dat is precies wat criminelen uitbuiten. Er zijn nu gratis apps zoals Trend Micro QR Scanner en Kaspersky QR Scanner die de link eerst checken voordat je hem opent.

Erik: De truc is simpel: je scant met die app in plaats van je gewone camera, en je krijgt een waarschuwing als de bestemming bekend staat als verdacht. Voor de browser op je computer is er ook een gratis extensie van Bitdefender die hetzelfde doet voor links die je tegenkomt.

Linda: Praktisch bij parkeerautomaten, laadpalen en in restaurants. Op die plekken plakken oplichters tegenwoordig hun eigen QR-codes over de echte heen. Een klein moment van geduld voor het scannen kan je een geleegde rekening besparen.

Erik: Installatie is opnieuw vijf minuten en het werkt op zowel Android als iPhone. Geen abonnement nodig voor de basisfunctie.

Linda: Vandaag hadden we het over: de tienduizend bugs die Anthropics Mythos vond, Nepal dat zijn eigen AI-fabriek bouwt, de explosie aan AI-phishing op smartphones, het certificaatlek dat banken en mailproviders raakt, een gratis app tegen phishingberichten, en QR-scanners die je vooraf beschermen tegen nepwebsites.

Erik: Meer weten of reageren? Ga naar thestateoftech.nl of mail ons op info@doorzetters.net.

Erik: State of Tech, de techwereld in 15 minuten.