Project Glasswing — de dag dat vulnerability discovery ophield een schaars goed te zijn

Er zijn momenten waarop een cijfer een hele industrie kantelt. Anthropic's Project Glasswing-update van 22 mei 2026 bevat er meerdere:

• 10.000+ high- of critical-severity kwetsbaarheden, gevonden in één maand door Claude Mythos Preview met ~50 partners
• 23.019 totale bevindingen in 1.000+ open-source projecten, waarvan 6.202 als high/critical ingeschat
• 90,6% true positive rate op getrieerde high/critical bevindingen (1.587 van 1.752 bevestigd)
• 271 Firefox-kwetsbaarheden — 10× meer dan Claude Opus 4.6 vond in Firefox 148
• 2.000 bugs bij Cloudflare, met een false-positive rate die beter is dan menselijke testers
• 5× zoveel patches bij Palo Alto Networks. Microsoft: "zal blijven groeien." Oracle: "multiple times faster."

Maar het belangrijkste getal is dit: 75. Van de 530 gerapporteerde high/critical open-source bugs zijn er pas 75 gepatcht. Open-source maintainers vragen Anthropic om minder snel te rapporteren — ze kunnen het niet bijbenen.

Progress on software security used to be limited by how quickly we could find new vulnerabilities. Now it's limited by how quickly we can verify, disclose, and patch.

De bottleneck is verschoven. En vrijwel niemand is er klaar voor.

Van vulnerability scarcity naar vulnerability abundance

Decennialang was de economie van cybersecurity offensief dominant. Het vinden van hoogwaardige kwetsbaarheden was duur, specialistisch en traag. Een zero-day was miljoenen waard. Security-teams schaarden zich rond schaarse bevindingen van pentests, bug bounty's en CVE-feeds.

Glasswing breekt dat model open. Mythos Preview is volgens Anthropic in staat tot agentic vulnerability research: codebase-mapping, het opzetten van scanning-subagents, triage, rapportage en threat-model-driven prioritering. Dit is fundamenteel anders dan "vraag een coding agent om bugs te zoeken." Het is een security harness met gespecialiseerde skills, taakdecompositie, parallelle analyse en validatie.

Mozilla formuleert het scherp: "Computers waren tot voor kort niet in staat om op elite-niveau door broncode te redeneren. Mythos Preview excelleert daar inmiddels in." Ze zeggen geen categorie of complexiteit van kwetsbaarheid te hebben gezien die mensen kunnen vinden maar het model niet.

De implicatie is dubbel:

• Defensief: organisaties kunnen veel meer kwetsbaarheden vinden vóórdat aanvallers dat doen
• Offensief: het wordt goedkoper om onbekende kwetsbaarheden te vinden, ketens te bouwen en exploitpaden te automatiseren

Anthropic erkent dit expliciet: er bestaan momenteel geen safeguards die sterk genoeg zijn om Mythos-class modellen publiek vrij te geven. Het dual-use risico is reëel.

De sprong: van statische code-assistent naar exploitability reasoning

Wat Glasswing technisch onderscheidt van eerdere AI-security tools is exploitability reasoning. Mythos Preview vond niet alleen een bug in wolfSSL — het bouwde een exploit die TLS-certificaten kon vervalsen, waarmee een aanvaller een perfect nagemaakte bank- of e-mailwebsite kon hosten (CVE-2026-5194). Dit raakt miljarden apparaten.

De evaluatie gebeurt via ExploitBench en ExploitGym — benchmarks die niet alleen proof-of-concept reproductie meten, maar exploit-primitives, sandbox escape-stappen en uiteindelijk volledige controle of arbitraire code execution in afgebakende testomgevingen. Het UK AI Security Institute rapporteert dat Mythos Preview het eerste model is dat beide cyber ranges end-to-end oplost.

De nuance van UK AISI is belangrijk: bij sommige taken zitten Mythos Preview en GPT-5.5 tegen de meetgrenzen aan, waarbij tokenbudget, scaffoldkwaliteit en taakduur sterk bepalen wat gemeten wordt. De capability is reëel, maar niet onbegrensd.

De echte bottleneck: triage en patch-operating-model

De meest waardevolle observatie in het artikel is deze: patch latency wordt de primaire risicofactor. Niet "hebben we kwetsbaarheden?" maar "hoe snel kunnen we bevindingen valideren, prioriteren, patchen, testen en uitrollen?"

Anthropic beschrijft het expliciet: sommige open-source maintainers hebben gevraagd langzamer te rapporteren. Gemiddeld duurt het patchen van een high/critical Mythos-bevinding twee weken. In een wereld waar AI de discovery-to-exploit tijd verkort, is twee weken een eeuwigheid.

Cloudflare bevestigt het patroon: generieke coding agents zijn niet geschikt voor betekenisvolle coverage van echte codebases, omdat vulnerability research smal, parallel en hypothese-gedreven is. Mythos Preview combineert primitives tot werkende PoC's — waardoor triage sneller wordt — maar overrapportage blijft een bewuste ontwerpkeuze. Een AI-bevinding is geen risico totdat hij door een proces loopt met bewijs, reproduceerbaarheid, exploitability, asset criticality en deployment-impact.

Vijf implicaties voor gereguleerde organisaties

Voor Nederlandse overheidsorganisaties, zorginstellingen en financiële dienstverleners ontstaan vijf concrete implicaties:

1. Patch-SLA's moeten worden herijkt. Een 30-, 60- of 90-dagen patchvenster voor critical internet-facing software wordt onverdedigbaar wanneer AI het discovery-to-exploit traject versnelt.

2. Vulnerability management verschuift van CVSS-only naar exploitability plus business criticality. EPSS, asset exposure, privilege boundary, data sensitivity, compensating controls en ketenafhankelijkheden worden leidend — niet alleen de CVSS-score.

3. SBOM en dependency intelligence worden operationeel noodzakelijk. Als AI kwetsbaarheden in open-source componenten versneld vindt, moet je exact weten waar wolfSSL, FreeRDP, Mastodon libraries, transitieve packages en submodules in jouw landschap zitten.

4. Disclosure en legal governance worden kritischer. Organisaties die AI-assisted vulnerability research doen, hebben een controlled disclosure policy, safe harbor, bewijsstandaard, logging en juridische review nodig. De NIS2/Cyberbeveiligingswet verplicht supply chain security — Glasswing maakt die verplichting meetbaar.

5. Agent authorization wordt een kerncontrol. Een security-agent die repositories, buildsystemen, containers, secrets en cloudomgevingen kan benaderen, is zelf een high-impact system. Zonder tool gating, least privilege, audit trails en sandboxing creëer je nieuwe risico's terwijl je oude oplost.

Glasswing vertaald naar enterprise controls

| Domein | Nieuwe eis door Glasswing | Concrete control | |---|---|---| | Secure SDLC | AI vindt kwetsbaarheden sneller dan teams patchen | Security gates per PR, AI-assisted review, mandatory regression tests | | Vulnerability management | CVE-feed is te laat en incompleet | SBOM + reachability + exploitability scoring | | Patch management | Patch latency wordt dominant risico | Critical internet-facing SLA's naar uren/dagen | | Agent governance | Security agents krijgen krachtige tools | Tool authorization, scoped tokens, sandboxing, immutable audit logs | | Disclosure | AI genereert disclosure-volume | CVD-proces, maintainer etiquette, legal review | | SOC | Exploit windows krimpen | Detection engineering gekoppeld aan AI-found weakness classes | | Supply chain | Open-source maintainers raken overbelast | Dependency minimization, vendoring policy, trusted upstreams |

Risicoregister

| Risico | Waarschijnlijkheid | Impact | Mitigatie | |---|---|---|---| | Bevindingen-tsunami zonder triagecapaciteit | Hoog | Hoog | Triage queue, confidence thresholds, owner mapping | | False positives verbruiken securitycapaciteit | Hoog | Middel | Reproducibility requirement, sandbox validation | | AI-assisted attackers verkorten exploit window | Hoog | Zeer hoog | Patch-SLA verkorten, virtual patching, WAF/RASP, EDR | | Agent krijgt te veel rechten | Middel | Zeer hoog | Least privilege, no-prod-by-default, ephemeral credentials | | Disclosure veroorzaakt maintainer-overload | Hoog | Middel | CVD policy, batching, severity-based reporting | | Model hallucineert severity of impact | Middel | Hoog | Human-in-the-loop, second-model review | | Sensitive code/data exposure aan cloudmodel | Middel | Hoog | Data classification, local-first preprocessing | | Overmatige afhankelijkheid van vendor claims | Middel | Middel | Eigen benchmark, reproducibility metrics, red/blue validation |

90-dagen actieplan voor enterprise security

Fase 1 — Baseline en zichtbaarheid (dagen 1-30): Volledige asset-, repo-, dependency- en SBOM-inventaris. Koppel internet exposure, business criticality, data sensitivity en ownership. Zonder deze laag wordt AI-scanning een bevindingenfabriek zonder besluitkwaliteit.

Fase 2 — AI-assisted security harness (dagen 15-45): Gecontroleerde pipeline met read-only analyse, sandboxed reproduction, evidence-based reports en patchvoorstellen. Gebruik Semgrep, CodeQL, Trivy, Syft/Grype als deterministische onderlaag. Laat LLM's redeneren bóvenop bewijs, niet vrij associëren.

Fase 3 — Patch operating model (dagen 30-60): Nieuwe SLA's voor critical/high vulnerabilities: fast-track CAB, emergency release path, rollbackstrategie, regression tests en compensating controls. De kernvraag: "Kunnen wij binnen 24 tot 72 uur veilig patchen als een AI-found exploitability path realistisch is?"

Fase 4 — SOC-integratie (dagen 45-75): Vertaal bevindingen naar detections. Elke high-confidence weakness moet leiden tot logbronnen, Sigma/YARA/EDR-detectie, WAF rules of abuse-case monitoring. Geen detection engineering = een gat tussen AppSec en SecOps.

Fase 5 — Governance en assurance (dagen 60-90): Documenteer agent-rechten, modelkeuze, prompt/harness-versies, findings, menselijke besluiten, patchstatus en uitzonderingen. Voor ISO 27001, NIS2, BIO2 en EU AI Act is dit de evidence thread die je later nodig hebt.

Wat dit betekent voor de Nederlandse praktijk

Nederlandse ministeries, ZBO's en vitale infrastructuur draaien op open-source: Linux, nginx, OpenSSL, wolfSSL, systemd, curl. Als Mythos Preview 23.000 kwetsbaarheden vindt in 1.000 open-source projecten — en 90,6% daarvan blijkt terecht — dan zitten daar met zekerheid BIO2- en NIS2-relevante componenten tussen die nu nog ongepatcht zijn.

De vraag voor CISO's is niet langer "scannen we genoeg?" maar: "kunnen we bijbenen wat AI vindt?"

DjimIT vertaalt Glasswing naar een concrete AI Vulnerability Operating Model Scan: een beoordeling van uw patch-SLA's, SBOM-volwassenheid, triagecapaciteit en agent governance tegen de nieuwe realiteit van AI-geschaalde vulnerability discovery. En een Controlled AI Vulnerability Pipeline die van AI-bevindingen naar evidence-based patches loopt — met sandboxing, audit trail en BIO2/NIS2-compliance ingebouwd vanaf dag één.

Glasswing is geen marketingvoetnoot. Het is het signaal dat de bottleneck definitief verschoven is. De maturity zit niet in het model — maar in hoe snel je organisatie van vinden naar patchen kan bewegen.

---

Bron: Project Glasswing: An initial update, Anthropic, 22 mei 2026.