Wat is er gebeurd
Anthropic publiceerde een eerste update over Project Glasswing, een samenwerking om met geavanceerde AI-modellen kwetsbaarheden in kritieke software te vinden voordat vergelijkbare mogelijkheden breed beschikbaar komen voor aanvallers. Volgens Anthropic heeft Claude Mythos Preview ongeveer 50 partners geholpen om meer dan tienduizend kwetsbaarheden met hoge of kritieke ernst te vinden in belangrijke softwaresystemen.
De update bevat cijfers die een jaar geleden nog onwaarschijnlijk hadden geklonken. Cloudflare vond naar eigen zeggen 2.000 bugs in systemen op het kritieke pad, waaronder 400 kwetsbaarheden met hoge of kritieke ernst. Mozilla vond en repareerde 271 kwetsbaarheden in Firefox 150 tijdens tests met Mythos Preview. Anthropic zegt daarnaast meer dan 1.000 open-source projecten te hebben gescand en duizenden mogelijke ernstige kwetsbaarheden te hebben gevonden, waarvan een groot deel na onafhankelijke triage echt bleek te zijn.
Anthropic brengt Mythos-klasse modellen nog niet breed uit. In plaats daarvan stelt het gerelateerde security tooling beschikbaar aan kwalificerende klanten, waaronder skills, een harness die codebases in kaart brengt en scanning-subagents aanstuurt, en een threat model builder die helpt bepalen waar het model als eerste moet zoeken. Het bedrijf publiceerde ook een dashboard om de voortgang van open-source kwetsbaarheidsmeldingen te volgen.
Waarom dit ertoe doet
Het belangrijkste punt is niet dat een AI-model kwetsbaarheden kan vinden. Het belangrijkste punt is dat de bottleneck verschuift. Anthropic schrijft dat vooruitgang niet meer vooral wordt beperkt door ontdekking. De beperking zit nu in verificatie, disclosure, patching en uitrol. Dat patroon kennen we uit enterprise AI: het model kan een taak versnellen, maar de operatie rond het model bepaalt of de uitkomst nuttig of riskant wordt.
Voor securityteams ontstaat hierdoor een nieuw capaciteitsprobleem. Een model kan duizenden bevindingen genereren, maar mensen moeten issues nog steeds reproduceren, ernst beoordelen, maintainers benaderen, fixes goedkeuren en patches naar productie brengen. Zonder gecontroleerde workflow wordt AI-output gewoon een extra overbelaste wachtrij. Het kan een organisatie zelfs minder veilig maken als teams niet meer zien welke bevindingen belangrijk zijn en welke ruis zijn.
Hetzelfde zie je bij documentoperaties, backoffice-workflows en interne kennissystemen. Een sterk model is niet genoeg. Een organisatie heeft context, rechten, routering, bewijs, menselijke goedkeuring, logging, rollback en integratie nodig met de systemen waarin het werk echt plaatsvindt. Agents worden pas productiesoftware wanneer ze een execution layer hebben, niet wanneer ze indrukwekkende tekst produceren.
Laava-perspectief
Project Glasswing is een securityverhaal, maar ook een runtimeverhaal. Het nuttige werk gebeurt niet door een losse chatbot. Het gebeurt doordat een model opereert binnen een gestructureerd proces: scannen, classificeren, verifiëren, rapporteren, patchen en monitoren. Elke stap heeft eigenaarschap en een spoor nodig. Precies daar lopen veel bedrijven tegenaan wanneer ze van AI-pilots naar productieagents willen.
Voor Laava past de les bij de managed runtime-benadering. Klanten kopen geen losse hardwarebox en ook geen verzameling modelaccounts. Ze hebben een beheerde omgeving nodig waarin agents dicht bij gevoelige data kunnen draaien, het juiste model per taak kunnen gebruiken, logs bewaren, rechten respecteren en werk teruggeven aan mensen wanneer oordeel nodig is. Soevereiniteit is hier relevant omdat gevoelig operationeel werk niet altijd door ongecontroleerde externe tools kan lopen.
Hetzelfde ontwerp geldt buiten security. Een documentagent die contracten controleert heeft citaties, autoriteitsniveaus en escalatie nodig. Een e-mailtriage-agent heeft een wachtrij, klantcontext en goedkeuringsregels nodig. Een backoffice-agent heeft idempotente acties, audit trails en systeemintegratie nodig. Het model kan redeneren, maar de runtime maakt het werk veilig, herhaalbaar en meetbaar.
Wat je nu kunt doen
Als je organisatie met agents experimenteert, begin dan met het proces rond het model. Tot welke informatie mag de agent toegang hebben? Welke acties mag hij uitvoeren? Waar keurt een mens goed? Wat wordt gelogd? Hoe test je, draai je terug en verbeter je de agent na livegang? Dit is geen papierwerk. Het is het verschil tussen een demo en een operationeel systeem.
Bepaal bij gevoelige document- en workflowoperaties ook waar de runtime moet draaien. Soms zijn cloud-API's prima. Soms maken dataresidentie, auditbaarheid, voorspelbare kosten of interne governance een managed sovereign runtime de betere deploymentvorm. Het doel is niet om hardware te bezitten omdat dat stoer klinkt. Het doel is nuttig AI-werk uitvoeren met controle.