Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Dank je, Mythos: Het engste moment van AI dwingt eindelijk het juiste gesprek over gegevensbeveiliging af
Dank je, Mythos: Het engste moment van AI dwingt eindelijk het juiste gesprek over gegevensbeveiliging af

Dank je, Mythos: Het engste moment van AI dwingt eindelijk het juiste gesprek over gegevensbeveiliging af

by Tim Freestone updated april 15, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

In april 2026 bracht Anthropic een preview uit van Claude Mythos, een general-purpose frontier-model waarvan de mogelijkheden voor kwetsbaarheidsonderzoek niet voortkwamen uit gespecialiseerde training, maar als een neveneffect van verbeteringen in code-redenering en autonomie. Binnen enkele weken ontdekte het duizenden zero-day kwetsbaarheden in elk groot besturingssysteem en elke grote webbrowser. Het vond een 27 jaar oude TCP-fout in OpenBSD. Een 16 jaar oude codec-bug in FFmpeg, die sinds een refactor in 2010 (van code uit 2003) onopgemerkt was gebleven. Een 17 jaar oude kwetsbaarheid voor remote code execution in de NFS-server van FreeBSD die het volledig autonoom wist te misbruiken, in ongeveer vier uur tijd.

Belangrijkste inzichten

  1. Beveiliging op applicatieniveau is nu structureel niet te verdedigen. Claude Mythos ontdekte duizenden zero-day kwetsbaarheden in elk groot OS en elke browser — niet door gespecialiseerde training, maar als bijproduct van verbeterde code-redenering. Je kunt je hier niet uit patchen.
  2. AI-gestuurde kwetsbaarheidsdetectie overtreft menselijke herstelmaatregelen met een veelvoud. Al vóór Mythos vonden AI-tools binnen enkele minuten misbruikbare fouten die decennialang in codebases verborgen zaten. De gemiddelde tijd om kritieke kwetsbaarheden te herstellen is 74 dagen. De gemiddelde tijd tot misbruik is nu min zeven dagen.
  3. Data Layer Security is niet langer een “nice-to-have”. NIST, CISA, NSA, Gartner en IBM wijzen allemaal op de datalaag als de kritieke investering. Gartner verwacht dat 75% van de organisaties die GenAI gebruiken tegen 2026 hun prioriteit verleggen naar beveiliging van ongestructureerde data.
  4. Versleutelde, beleidsgestuurde data heeft geen applicatie-oppervlak om te misbruiken. Wanneer bescherming met de data zelf meereist — ingebedde encryptie, op attributen gebaseerde toegangscontrole, door de klant beheerde sleutels — wordt een datalek in de applicatie een datalek van de container, niet van de inhoud.
  5. Mythos heeft geen nieuw risico gecreëerd — het heeft een gevaarlijke fictie vernietigd. Die zero-days bestonden al. De 27 jaar oude OpenBSD-fout zat er al die tijd al. Wat Mythos doet, is het gat dichten tussen wat verdedigers weten en wat aanvallers weten.

Het grootste deel van de cybersecurity-industrie reageerde geschokt. Mijn reactie was anders: eindelijk.

Niet omdat ik blij ben dat kwetsbaarheden bestaan. Maar omdat Mythos iets doet wat de beveiligingsindustrie al twintig jaar niet lukt: het maakt onweerlegbaar duidelijk dat beveiliging op applicatieniveau een verloren strijd is. En dat betekent dat het gesprek eindelijk, onvermijdelijk, verschuift naar waar het altijd al had moeten zijn: de datalaag.

De Application Security Treadmill was al stuk. AI heeft het alleen bewezen.

Ik heb jarenlang gezien hoe slimme securityteams enorme budgetten steken in patchen, scannen en harden van applicaties. En ik heb gezien hoe diezelfde teams toch worden getroffen door datalekken. Niet omdat ze onbekwaam zijn, maar omdat de rekensom niet klopt.

Kijk naar de situatie vóór Mythos. In 2025 werden er ongeveer 48.000 CVE’s gepubliceerd, zo’n 131 per dag, het zevende opeenvolgende recordjaar. De gemiddelde time-to-exploit is dramatisch gekelderd; Google Mandiant’s M-Trends 2026-rapport mat deze op min zeven dagen, wat betekent dat misbruik gemiddeld een week vóór het beschikbaar komen van een patch begint. Ondertussen stond de gemiddelde tijd om kritieke kwetsbaarheden te herstellen op 74 dagen. Dat is geen gat, dat is een kloof. In de eerste helft van 2025 werd meer dan 32% van de misbruikte kwetsbaarheden op of vóór de dag van openbaarmaking ingezet, met een jaargemiddelde van circa 29%. CrowdStrike mat een gemiddelde breakout-tijd van 29 minuten van initiële toegang tot laterale beweging, met de snelste op 27 seconden.

En dan komt AI erbij. Al vóór Mythos vond Claude Opus 4.6 in twee weken 22 CVE’s in 4,6 miljoen regels C++-code van Firefox (een deel van de volledige codebase van 21 miljoen regels). De eerste bug werd binnen 20 minuten gevonden. Google’s Big Sleep vond een misbruikbare SQLite-fout die, volgens Google zelf, alleen bij threat actors bekend was. Microsoft’s Security Copilot vond samen met traditionele analysemethoden 20 tot dan toe onbekende kwetsbaarheden in bootloaders die Secure Boot konden omzeilen. OpenAI’s o3 vond een use-after-free in de Linux kernel. De AI-startup AISLE ontdekte 13 van de 14 OpenSSL CVE’s die in 2025 werden toegewezen, waaronder bugs die al sinds de late jaren ’90 in de code zaten. XBOW, een autonome AI-pentester, werd de eerste AI die #1 op HackerOne’s Amerikaanse ranglijst behaalde tijdens een periode van 90 dagen, met meer dan 1.060 kwetsbaarheidsrapporten en benchmarks die 85 keer sneller werden afgerond dan menselijke pentesters.

En toen kwam Mythos, en deed dit alles tegelijk, overal.

Ik zeg dit niet om dramatisch te doen. Ik zeg het omdat elke CISO die ik ken een simpele waarheid moet internaliseren: je kunt je hier niet uit patchen. Niet als AI kwetsbaarheden sneller vindt dan je team ze kan beoordelen. Niet als de hoeveelheid vindbare fouten sneller groeit dan je organisatie kan bijbenen. De applicatielaag is niet alleen moeilijk te verdedigen. Ze is structureel niet te verdedigen als primaire beschermingslaag.

De juiste vraag is niet “Hoe vinden we sneller bugs?” maar “Wat gebeurt er als het datalek slaagt?”

Hier moet het gesprek naartoe verschuiven, en hier doet Mythos de sector eigenlijk een plezier.

Jarenlang werd Data Layer Security gezien als een nice-to-have. Iets dat je toevoegt nadat je het “echte” beveiligingswerk hebt gedaan met firewalls, EDR, SIEM en kwetsbaarheidsbeheer. Maar dat is precies de verkeerde volgorde. Als elke applicatie kwetsbaar is (en Mythos heeft dat nu overtuigend aangetoond), is de enige relevante vraag: wat vindt een aanvaller als hij binnenkomt?

Een stukje data dat op de datalaag is versleuteld, met ingebedde toegangsregels en sleutels die de aanvaller niet bezit, heeft geen applicatie-oppervlak om te misbruiken. Er is geen buffer die kan overstromen, geen API die verkeerd geconfigureerd kan worden, geen afhankelijkheid die vergiftigd kan raken. De data draagt zijn eigen bescherming. Een datalek in de applicatie wordt een datalek van de container, niet van de inhoud.

Dit is geen marginaal idee. NIST SP 800-207 beschrijft Zero Trust Architectuur als “primair gericht op bescherming van data en diensten, maar kan en moet worden uitgebreid naar alle bedrijfsassets en -subjecten.” Het CISA Zero Trust Maturity Model benoemt Data als een van de vijf pijlers. Het NSA-advies van april 2024 over het versterken van zero trust via de datapijler zegt het direct: traditionele perimeterverdediging is niet voldoende, en aanvallers die binnenkomen krijgen vaak onbeperkte toegang tot alle data. De NSA erkent ook dat de datapijler in de meeste federale implementaties het minst volwassen is.

De analisten zien het ook. Gartner verwacht dat tegen 2026, 75% van de organisaties met GenAI-initiatieven hun uitgaven zal herprioriteren richting beveiliging van ongestructureerde data. De markt voor Data Layer Security groeit met 24,2% CAGR. IBM’s 2025 Cost of a Data Breach Report, waarin een gemiddeld Amerikaans datalek $10,22 miljoen kostte (een recordhoogte), beveelt expliciet data discovery, classificatie, toegangscontrole, encryptie en key management aan als primaire beveiligingsstatus.

Iedereen weet dat dit de richting is. Mythos maakte van “ooit” ineens “nu”.

Hoe Data Layer Security er in de praktijk uitziet

Ik ben direct: dit is het probleem dat Kiteworks oplost.

Ons platform past zero-trust principes niet toe op het netwerk- of applicatieniveau, maar op de datalaag zelf. We consolideren gevoelige contentkanalen (beveiligde e-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP, dataformulieren, virtuele dataruimten, API’s en next-gen DRM) onder één governance-framework met uniforme beleidsafdwinging. Elke handeling wordt geëvalueerd door onze Data Policy Engine, die gebruikersidentiteit, gevoeligheid van data en beoogde actie trianguleert voordat toegang wordt verleend.

De technische implementatie is van belang. Dubbele AES-256 Encryptie beschermt data op zowel bestands- als schijfniveau, met FIPS 140-3 gevalideerde cryptografische modules en door de klant beheerde encryptiesleutels ondersteund door hardware security modules. Onze Trusted Data Format-integratie embedt op attributen gebaseerde toegangscontrole en hardnekkige encryptie direct in bestanden, zodat bescherming met de data meereist, waar deze ook naartoe gaat. Als een bestand verkeerd wordt verzonden of een rol verandert, wordt de toegang direct ingetrokken.

Onze SafeEDIT-functionaliteit gaat nog verder. Hiermee wordt een bewerkbare videoweergave van bestanden gestreamd op 60fps, waardoor het daadwerkelijke bestand nooit de beveiligde omgeving verlaat. Een samenwerker kan met de inhoud werken, maar krijgt het bestand nooit in bezit. Je kunt niet exfiltreren wat je nooit hebt gehad.

En specifiek voor het AI-tijdperk lanceerden we Compliant AI op RSAC 2026, waarbij dezelfde ABAC-beleidsregels, encryptie en audit logging worden afgedwongen voor elke AI-agentinteractie met gereguleerde data. Onze Secure MCP Server stelt AI-clients zoals Claude en Copilot in staat verbinding te maken met het Kiteworks-platform via OAuth 2.0-authenticatie, zodat inloggegevens nooit bij taalmodellen terechtkomen. In tegenstelling tot guardrails op modelniveau, die kunnen worden omzeild via prompt injection, handhaven wij governance op het moment van data-toegang — de enige laag die AI-agenten niet kunnen omzeilen.

De Mythos-paradox: De engste AI maakt ons veiliger

Er zit een bewuste ironie in de naam “Mythos” van Anthropic. Een mythos is een basisverhaal, een narratief dat bepaalt hoe een cultuur haar wereld begrijpt. En het verhaal dat Mythos vertelt is krachtig.

Het creëert geen nieuw risico. Die kwetsbaarheden bestonden al. De 27 jaar oude OpenBSD-fout zat er al die tijd. De OpenSSL-bugs uit 1998 waren een kwart eeuw uit te buiten. Wat Mythos doet, is het gat dichten tussen wat wij weten en wat aanvallers weten. Het maakt de fictie van “veilige applicaties” zichtbaar voor iedereen, niet alleen voor onderzoekers en staten die deze fouten al stilletjes misbruikten.

Dat is goed. Want die fictie was gevaarlijk. Het liet organisaties geloven dat patchen en scannen genoeg was. Het liet raden goedkeuring geven aan beveiligingsbudgetten gebaseerd op de aanname dat applicaties veilig konden worden gemaakt. Mythos vernietigt die aanname. En dwingt zo een eerlijker gesprek over waar beveiliging echt moet plaatsvinden.

Ik pleit al lang voor Data Layer Security. Het argument dat een individueel stukje data, versleuteld en gecontroleerd, geen kwetsbaarheid heeft omdat er geen applicatie omheen zit. Dat encryptie, beleid, controls en beveiliging op datalaag het kritieke investeringspunt zijn in een wereld waarin alle software als kwetsbaar wordt beschouwd.

Mythos veranderde mijn argument niet. Het maakte het alleen onmogelijk om te negeren.

Als elk slot te kraken is, zijn de organisaties die overleven diegenen die de inhoud van de kluis onafhankelijk ondoordringbaar hebben gemaakt. Dat is geen theoretische positie meer. Dat is de realiteit van nu.

Wat organisaties nu moeten doen

Ten eerste moet je accepteren dat beveiliging op applicatieniveau, hoewel nog steeds noodzakelijk, niet langer volstaat als primaire verdedigingsstrategie. De hoeveelheid vindbare kwetsbaarheden zal sneller groeien dan organisaties kunnen bijbenen. Securitybudgetten en architecturen moeten verschuiven naar het onafhankelijk beschermen van data, los van de applicaties die ze verwerken.

Ten tweede voer een volledige data discovery- en classificatieoefening uit. Het 2026 Thales Data Threat Report vond dat slechts 33% van de organisaties volledig weet waar hun data zich bevindt. Je kunt niet beschermen wat je niet kunt vinden. Investeer in geautomatiseerde discovery-tools die gevoelige data in kaart brengen over gestructureerde en ongestructureerde repositories, zowel in de cloud als on-premises.

Ten derde implementeer encryptie op datalaag met door de klant beheerde sleutels. Encryptie op applicatie- of transportlaag is noodzakelijk maar niet voldoende. Data moet versleuteld zijn in rust en onderweg met sleutels die de organisatie beheert — niet de cloudprovider, niet de SaaS-leverancier en zeker niet het AI-model.

Ten vierde zet op attributen gebaseerde toegangscontrole in die met de data meereist. Statische rolgebaseerde toegang faalt als data over organisatiegrenzen, in AI-workflows of via ecosystemen van derden beweegt. Toegangsbeleid moet in de data zelf worden ingebed, zodat het wordt afgedwongen ongeacht waar het bestand wordt geopend of welk systeem het verwerkt.

Ten vijfde beheer AI-data-toegang met dezelfde grondigheid als menselijke toegang. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-gestuurde aanvallen. AI-agenten zijn nu zowel een productiviteitstool als een aanvalsvector. Elke AI-interactie met gevoelige data moet worden geauthenticeerd, geautoriseerd, gelogd en controleerbaar zijn — op de datalaag, niet op het modelniveau.

De organisaties die Mythos als wake-up call zien — en nu investeren in Data Layer Security — zijn degenen die klaar zijn voor wat er komen gaat.

Veelgestelde vragen

Patching blijft noodzakelijk, maar is niet langer voldoende als primaire verdediging. AI-modellen zoals Mythos ontdekken kwetsbaarheden sneller dan organisaties ze kunnen herstellen — de gemiddelde hersteltijd is 74 dagen, terwijl misbruik nu begint voordat patches bestaan. Organisaties moeten patchprogramma’s behouden, maar de primaire investering verschuiven naar Data Layer Security die gevoelige content onafhankelijk van de verwerkende applicaties beschermt.

Data Layer Security embedt encryptie en toegangscontrole direct in bestanden met technologieën zoals op attributen gebaseerde toegangscontrole en hardnekkige encryptieformaten. Een bestand blijft beschermd, waar het ook naartoe gaat — over cloudomgevingen, systemen van derden of AI-workflows. Het 2026 Thales Data Threat Report vond dat slechts 33% van de organisaties weet waar hun data zich bevindt, waardoor ingebedde bescherming op datalaag essentieel is.

AI-agenten zijn zowel een productiviteitstool als een risico voor databeveiliging. Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-gestuurde aanvallen. Beheer AI-data-toegang op de datalaag — niet op het modelniveau — met ABAC-beleid, OAuth 2.0-authenticatie en manipulatiebestendige audit logging voor elke AI-interactie met gereguleerde data.

Ja. NIST SP 800-207 definieert Zero Trust Architectuur als gericht op bescherming van data en diensten. Het NSA-advies uit 2024 over het versterken van zero trust benoemt specifiek de datapijler, en merkt op dat deze het minst volwassen is in de meeste federale implementaties. Zero trust moet worden uitgebreid naar AI-data-toegang, met authenticatie, autorisatie en logging voor elk agentverzoek.

AI-tools die toegang krijgen tot HIPAA-gereguleerde data vereisen dezelfde toegangscontrole, encryptie en audittrails als menselijke gebruikers. Dwing ABAC-beleid af op de datalaag om te waarborgen dat AI-agenten alleen toegang krijgen tot wat hun autorisatie toestaat, met FIPS 140-3 gevalideerde encryptie en onveranderlijke logs. Het Kiteworks Compliant AI-framework beheert AI-agenttoegang tot PHI met dezelfde grondigheid als menselijke toegang.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks