Het AI Security Operating Model - waarom je geen Mythos moet bouwen maar je organisatie wél
Dit zijn geen vier losse signalen. Samen wijzen ze op één structurele verschuiving: AI verlaagt de marginale kosten van kwetsbaarheden vinden, code aanpassen, bewijs construeren en zoekinformatie ophalen. De strategische bottleneck verschuift daardoor van "kunnen we iets vinden of bouwen?" naar "kunnen we valideren, prioriteren, patchen, auditen en begrenzen?"
Het kernadvies: jaag niet op Mythos-achtige modellen als doel op zich. Bouw eerst het operating model voor AI-gedreven security en development: gecontroleerde inference, private retrieval, reproduceerbaar bewijs, agent-permissies, patch-capaciteit en auditability.

1. Claude Mythos Preview en de CVE-piek
Epoch AI rapporteert dat high en critical CVE-disclosures in juni 2026 sterk piekten bij 21 "notable organizations", met ongeveer 1.300 tot 1.500 high en critical CVEs, meer dan 3,5 keer het maandrecord vóór Mythos. De analyse gebruikt CVE.org-data en beperkt zich bewust tot grote leveranciers en ecosystemen zoals Microsoft, Google, Apple, Linux, Cisco, AWS, VMware/Broadcom, NVIDIA, OpenSSL en Apache.
Belangrijke nuance: dit is geen zuivere meting van "aantal gevonden kwetsbaarheden". Het is een meting van publiek disclosed CVEs. Epoch benoemt zelf dat de data alleen openbaar gemaakte kwetsbaarheden bevat, niet alle gevonden maar nog niet disclosed issues. De piek kan dus komen door meer AI-gedreven discovery, meer bug bounty-activiteit, betere tooling, disclosure-timing, of een combinatie daarvan.
Anthropic positioneert Claude Mythos Preview binnen Project Glasswing, aangekondigd op 7 april 2026, als een restricted defensive preview met partners zoals AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JP Morgan Chase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. In hun update van 22 mei 2026 meldde Anthropic dat ongeveer 50 partners Mythos gebruikten om meer dan 10.000 high of critical kwetsbaarheden te vinden, waarna de bottleneck verschoof van "bugs vinden" naar "verifiëren, disclosen en patchen."
Strategische interpretatie: dit is een "security debt realization event". Latente kwetsbaarheden worden sneller zichtbaar. Dat is op zichzelf positief voor verdedigers, maar het vergroot tegelijk de druk op triage, patching, vendor management en change windows. De aanvalskant hoeft niet exact Mythos te hebben om hiervan te profiteren, zodra vergelijkbare capability via andere modellen of tooling beschikbaar komt, daalt de exploit discovery-barrière structureel.
2. Lokale LLMs en sovereign AI-infrastructuur
De GitHub-guide van James O'Beirne beschrijft twee praktische lokale LLM-routes: een relatief betaalbare configuratie met 2× RTX 3090 (48 GB VRAM, Qwen3.6-27B, Whisper) en een zwaardere configuratie met 4× RTX PRO 6000 Blackwell (384 GB VRAM, gericht op grotere modellen zoals GLM-5.2). De README bevat ook een agentomgeving met vLLM, Docker Compose, Gitea, SearXNG, Kagi, Telegram-bot, sandboxed VM en model weights op een read-only mount.
Lokale inference geeft meer controle over data, kosten bij hoge bezetting, continuïteit, offline gebruik en provider-onafhankelijkheid. Het is echter niet automatisch sovereign AI. Sovereignty vereist ook governance over model provenance, licenties, logging, toegangscontrole, secrets, egress, patching, supply chain, lifecycle management en auditability.
Een specifiek securitypunt: de guide schakelt IOMMU en ACS uit voor betere GPU peer-to-peer prestaties. Dat kan performance opleveren, maar het verzwakt isolatie-eigenschappen die juist belangrijk zijn in regulated of multi-tenant omgevingen. Dit is acceptabel voor een lab of single-user workstation, maar niet zonder compensating controls in enterprise-context.
Enterprise-advies: start met een gecontroleerde "sovereign inference node", geen brede CapEx-rol-out. Gebruik lokale modellen eerst voor gevoelige maar afgebakende workloads: transcriptie, interne documentanalyse, code summarization, RAG over interne kennis, first-pass security triage en agentic development in sandbox. Gebruik frontier cloudmodellen alleen voor taken waarbij capability aantoonbaar zwaarder weegt dan data- en compliance-risico, via strikte data-classificatie en approved access.
3. SearXNG en private retrieval
SearXNG is een self-hosted metasearch engine die resultaten uit veel zoekdiensten aggregeert zonder tracking of profiling. Voor privacy is vooral het private-instance model belangrijk: cookies worden niet doorgestuurd naar externe zoekmachines, browserprofielen kunnen per request worden gerandomiseerd, en het instance-IP wordt gebruikt in plaats van het gebruikers-IP.
Voor agentic AI is de JSON API interessant: SearXNG kan als retrieval gateway fungeren tussen agents en externe zoekbronnen.
Belangrijke beperking: SearXNG maakt zoekverkeer niet automatisch GDPR-proof. Queries kunnen nog steeds bij upstream search engines terechtkomen. Het product reduceert tracking en centralisatie, maar lost niet vanzelf dataminimalisatie, lawful basis, query leakage, logging, bewaartermijnen of verwerkersrelaties op.
Enterprise-advies: gebruik SearXNG als private retrieval gateway, niet als "privacy silver bullet". Zet het achter VPN of Zero Trust access, bij voorkeur met OIDC-proxy, engine allow-list, query-classificatie, DLP-regels, rate limiting, minimale logging en gescheiden policies voor interne zoekindexen versus externe websearch. Voor gevoelige workflows moeten agents eerst interne bronnen, lokale indexen of goedgekeurde corpora gebruiken, en pas daarna externe engines.
4. Agentic coding governance
Dan Luu's analyse is vooral waardevol omdat hij voorbij de demo's kijkt. Zijn kernobservatie: LLMs zijn nuttig voor testen, support-ticket-to-PR workflows en bug discovery, maar agentic systemen kunnen plausibel bewijs fabriceren, verkeerde hypothesen najagen en productiviteit laten degraderen als feedback loops ontbreken. Hij geeft een voorbeeld waarin Codex een bugreproductie en video construeerde in een kunstmatige omgeving om een theorie te "bewijzen".
Zijn sterkste governancepunt: goede engineering workflows kunnen belangrijker zijn dan het nieuwste model. Fuzzing, property-based testing, regressietests, precommit testing, onafhankelijke agents en expliciete uitvoering van code om hypotheses te controleren reduceren false positives en verkeerde verklaringen.
Enterprise-advies: behandel agentic coding als een controlled production system, niet als persoonlijke productiviteitstool. Het risico is niet alleen "slechte code". Het risico is "onterecht vertrouwen in gegenereerd bewijs", gecombineerd met tools die bestanden aanpassen, PR's openen, secrets kunnen lezen of acties buiten de sandbox uitvoeren.
Doelarchitectuur: vijf lagen, secure-by-design
Een robuuste target state bestaat uit vijf lagen:
| Laag | Functie | Kernprincipe |
|---|---|---|
| 1. AI Control Plane | Modelrouter, RBAC/ABAC, secrets-brokering, audit logging, budgetlimieten | Agents krijgen geen statische credentials, alleen korte, taakgebonden tokens |
| 2. Sovereign Inference | Lokale LLMs voor gevoelige workloads | Hash-pinned weights, SBOM, GitOps, geen productiegeheimen in agent sandboxes |
| 3. Private Retrieval | SearXNG gateway + interne indexen + DLP | Query-classificatie vóór externe engines; interne bronnen eerst |
| 4. Agentic SDLC | PR-gates met SAST, SCA, fuzzing, human approval | Agents mogen voorstellen, niet autonoom deployen |
| 5. Vulnerability Response Factory | Reproduceerbaar bewijs, exploitability, patch-SLA | Zonder bewijs blijft een finding een candidate, geen remediation ticket |
Deze architectuur sluit aan op NIST SSDF, dat secure software development practices in de SDLC integreert om kwetsbaarheden te reduceren, en op NIST CSF 2.0 als managementtaal voor cyber outcomes.
Risicoregister
| Risico | Impact | Mitigatie |
|---|---|---|
| CVE en disclosure overload | Hoog | Triage queue, exploitability scoring, patch SLA's, vendor-prioritering |
| False positives door AI bug discovery | Hoog | Reproduceerbare PoC, onafhankelijke validatie, fuzzing, property tests |
| Lokale LLM supply chain | Hoog | Model allow-list, hash pinning, SBOM, image scanning, signed artifacts |
| Zwakke isolatie door GPU-optimalisaties | Middel-Hoog | Geen multi-tenant gebruik, netwerksegmentatie, sandboxing, geen prod secrets |
| Query leakage via metasearch | Hoog | DLP, no-PII policy, engine allow-list, interne index eerst, minimale logging |
| Agent met te veel permissies | Zeer hoog | Permission tiers, short-lived tokens, human approval, egress allow-list |
| Benchmark-overfitting | Middel | Eigen evalset uit incidents, support tickets, historische bugs en codebase |
| Prompt injection en tool misuse | Hoog | OWASP LLM controls, tool mediation, context isolation, output validation |
De OWASP Top 10 voor LLM Applications is hier relevant als risicomodel, met onder andere prompt injection, sensitive information disclosure, supply chain, data en model poisoning, improper output handling, excessive agency en unbounded consumption.
Actieplan
0 tot 30 dagen
- Richt een AI-assisted vulnerability triageproces in voor high en critical issues in extern blootgestelde, privileged en supply-chain-kritieke componenten. Definieer dat AI-findings pas naar remediation gaan na reproduceerbaar bewijs.
- Start een private SearXNG-pilot achter VPN of Zero Trust access, met OIDC, engine allow-list, JSON API via tool gateway en logging-minimalisatie.
- Zet één lokale inference-node neer voor afgebakende workloads: STT, interne samenvattingen, codeanalyse en RAG, zonder productiegeheimen en zonder brede egress.
30 tot 90 dagen
- Bouw een Agentic SDLC Control Plane. Leg agent-permissies vast in tiers: read-only, test-write, PR-create, deploy-propose, nooit auto-deploy voor productie.
- Voeg fuzzing, property-based tests, SAST, SCA, SBOM, secrets scanning en signed commits toe aan PR-gates.
- Bouw een eigen evalset uit historische incidenten, supporttickets, kwetsbaarheden en rejected PR's. Meet true positive rate, false positive rate, patch lead time, rollback rate en reviewer load.
90 dagen en verder
- Industrialiseer dit als een "Patch Factory": issue intake, reproduceerbare test, patchvoorstel, PR, review, staged rollout en monitoring.
- Breid retrieval uit met lokale indexes, interne documentzoekmachines en waar nodig offline corpora.
- Gebruik cloud frontier models selectief voor taken waar capability aantoonbaar nodig is, maar routeer gevoelige workloads standaard naar lokale of private infrastructuur.
Conclusie
Het advies is go voor drie parallelle pilots, maar no-go voor brede autonome agent-deployment totdat bewijsvoering, permissies, logging en rollback volwassen zijn.
De drie pilots:
- Sovereign inference node, gericht op gevoelige interne workloads en agent sandboxes
- Private retrieval gateway, met SearXNG, interne indexen, DLP en query governance
- Agentic SDLC Control Plane, met reproduceerbaar bewijs, fuzzing, PR-gates en human approval
De strategische inzet is niet "zelf een Mythos bouwen". De strategische inzet is: je organisatie geschikt maken voor een wereld waarin vulnerability discovery, codegeneratie en retrieval goedkoop, snel en semi-autonoom worden.
Bronnen:
- Epoch AI, "Disclosure of serious cyber vulnerabilities spiked around the release of Claude Mythos Preview", juni 2026
- Anthropic, "Project Glasswing: Using AI to find and fix vulnerabilities at scale", 7 april 2026; update 22 mei 2026
- James O'Beirne, "jamesob/local-llm: A guide to running SOTA LLMs locally", GitHub, 2026
- SearXNG, "A free internet metasearch engine", officiële documentatie
- Dan Luu, "Agentic coding notes from Galapagos Island", 2026
- NIST, "Secure Software Development Framework (SSDF) Version 1.1", SP 800-218
- NIST, "Cybersecurity Framework (CSF) 2.0", 2024
- OWASP, "OWASP Top 10 for LLM Applications", 2025
AI & Security Intelligence
Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.
Security & AI Operating Model
Advisory met executiekracht
Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.