Geen Mythos, geen probleem: ook de AI van nu kan bugs opsporen

In dit artikel:

De nieuwste top‑AI’s van Anthropic en OpenAI (Claude “Mythos” en GPT‑5.5‑Cyber) worden niet breed vrijgegeven omdat ze in staat zijn diepgewortelde kwetsbaarheden te vinden; toegang blijft voorlopig beperkt tot bevoegde partijen. Tegelijk laat Hadrian, een securitybedrijf uit Amsterdam, zien dat je geen geheime supermodellen nodig hebt om kwetsbaarheden op grote schaal te ontdekken. Het bedrijf publiceerde recent LLM‑ondersteund onderzoek naar open‑sourceapplicaties (waaronder een dozijn pakketten die door de Nederlandse overheid worden gebruikt) en bracht kort daarna OpenHack uit onder een MIT‑licentie: een workflowtool om hetzelfde doel te bereiken.

Hadrian vond binnen enkele uren honderden problemen door niet simpelweg generieke prompts aan een model te geven, maar door een scenario‑gebaseerde aanpak te gebruiken. Hun werkwijze omvat het in kaart brengen van het aanvalsoppervlak, het opdelen van code in gerichte taken en het koppelen van iedere taak aan een AI‑“expert”. Iedere vondst wordt vervolgens door een aparte triage‑agent gevalideerd en verder geanalyseerd. Die taakverdeling moet voorkomen dat één enkele agent onbeholpen of hallucinerende rapporten produceert en vermindert valse positieven en duplicaten.

OpenHack is modelonafhankelijk en werkt met bestaande model‑harnesses zoals Claude Code, Codex of Cursor. Hoewel grotere, geavanceerdere modellen preciezer of dieper kunnen werken, benadrukt Hadrian dat een goede workflow en menselijke controle vaak belangrijker zijn dan alleen modelgrootte. Dat weerlegt de veronderstelling dat alleen de grootste AI’s bruikbaar zijn voor security‑onderzoek; praktische systemontwerpen en triage zijn minstens zo cruciaal.

De discussie rond modelgrootte speelt mee: er wordt gespeculeerd dat Mythos en GPT‑5.5 miljarden tot biljoenen parameters tellen, wat enorme hardwarekosten en capaciteitseffecten veroorzaakt. Economische en infrastructuurbeperkingen maken massale uitrol van zulke reusachtige modellen onwaarschijnlijk, zelfs als de modellen veilig gevonden worden. Tegelijkertijd tonen voorbeelden zoals Mozilla — waar Mythos honderden kwetsbaarheden vond met relatief weinig valse positieven — dat krachtige modellen wel grote impact kunnen hebben, maar niet per se onmisbaar zijn.

Een belangrijk operationeel punt is het voorkomen van slechte uitkomsten: overvloed aan onbetrouwbare of dubbele bugrapporten verhindert effectieve beveiliging (zoals Linus Torvalds recentelijk bekritiseerde). OpenHack implementeert methoden die zulke problemen aanpakken en gedraagt zich meer als een gestructureerd securitysysteem dan als een losse generatieve assistent.

Kortom: de recente ontwikkelingen dwingen de industrie om de veronderstelling los te laten dat schaalvergroting (meer parameters) automatisch de oplossing is. De nadruk verschuift naar AI‑ondersteunde workflows, zorgvuldige systeemarchitectuur en menselijke triage. De doorbraak om kwetsbaarheden efficiënt te vinden is al begonnen, maar die kwam niet uitsluitend door grote modellen—menselijke ontwerpkeuzes en procesintegratie spelen een doorslaggevende rol.