Afgelopen maand lanceerde Anthropic hun AI-model Mythos met een claim die zo spectaculair was dat de hele tech-wereld even stilstond: het model was zo gevaarlijk goed in het vinden van beveiligingslekken dat ze het niet durfden vrij te geven. Binnen twee weken stond OpenAI op de stoep met hun eigen antwoord: GPT-5.5-Cyber, dezelfde pitch, dezelfde dramatiek.
De wereld verloor collectief haar verstand. Maar de vraag die niemand leek te stellen was: klopt het eigenlijk?
De feiten achter de koppen
Laten we beginnen met wat er echt is gebeurd, in plaats van wat de persberichten wilden dat je geloofde.
Daniel Stenberg, de man achter curl, een van de meest geteste, gefuzzde en geauditede C-codebases op aarde, kreeg uiteindelijk een Mythos-scan van zijn project. Na weken vertraging (Anthropic beloofde toegang, maar die bleef uit) analyseerde iemand anders de code voor hem.
Het resultaat? Vijf "bevestigde" kwetsbaarheden, aldus Mythos.
De werkelijkheid? Eén kwetsbaarheid. Severity: laag. De andere vier waren valspositieven, drie ervan waren gedocumenteerde eigenschappen die gewoon in de API-documentatie stonden. Het model bevestigde zichzelf, zoals modellen dat doen.
Stenberg's conclusie is dodelijk nuchter: "De grote hype rond dit model was tot op heden vooral marketing." Hij ziet geen bewijs dat Mythos significant beter presteert dan de AI-tools die curl al maanden gebruikt: AISLE, Zeropath en OpenAI's eigen Codex Security. Die tools hadden eerder al honderden bugs gevonden en meer dan een dozijn CVE's opgeleverd.
De marketingmachine
En dit is waar het interessant wordt. Kijk naar de timing.
Anthropic lanceerde Mythos in april 2026 met de claim dat het model "te gevaarlijk" was om te publiceren. Te gevaarlijk. Niet "goed," niet "beter dan bestaande tools," maar gevaarlijk. Dat is geen technische conclusie. Dat is een marketingbeslissing.
De boodschap is briljant: door je product te weigeren te verkopen, maak je het onweerstaanbaar. Iedereen wil toegang tot het ding dat ze niet mogen hebben. Het is dezelfde truc die OpenAI in 2019 uittrok met GPT-2, dat destijds "too dangerous to release" heette. Datzelfde model draait nu op je telefoon.
Terwijl Anthropic naar een mogelijke beursgang koerst, met een geschatte waardering van $900 miljard, is het timing geen toeval. Niets verkoopt beter dan angst. En niets verhoogt je waardering als het idee dat jouw technologie zo krachtig is dat de wereld er nog niet klaar voor is.
OpenAI zag de aandacht weglekken en reageerde binnen twee weken met GPT-Cyber. Dezelfde aanpak: beperkte toegang, alleen voor "vertrouwde partijen," dezelfde dramatische framing. Vandaag krijgen tientallen Europese bedrijven, van Deutsche Telekom tot de Europese Commissie, toegang tot Cyber. De wapenwedloop is officieel.
De nummers die niemand controleert
Mozilla meldde dat Mythos "maar liefst 271 kwetsbaarheden" vond in Firefox. Dat nummer vloog de wereld rond. Maar hoeveel daarvan zijn daadwerkelijk bevestigd? Hoeveel waren er valspositief, zoals 80% bij curl? Hoeveel waren documentatie-issues die als kwetsbaarheden werden opgevoerd?
Die vragen worden niet gesteld, want het grote getal is het persbericht. Het kleine getal, de werkelijke, geverifieerde impact, dat is de voetnoot die niemand leest.
Dit patroon kennen we. Het is hetzelfde mechanisme als bij elk AI-announcement: de headline-claim is spectaculair, de fine print is genuanceerd, en tegen de tijd dat de nuance bovenborrelt, is de nieuwscyclus alweer drie claims verder.
De ironie van de wapenwedloop
Er zit een donkere ironie in dit hele circus. Een jaar geleden moest curl zijn bug-bountyprogramma stopzetten, niet vanwege echte beveiligingsproblemen, maar omdat ze werden overspoeld met AI-gegenereerde nep-kwetsbaarheden. "AI slop" noemde Stenberg het: rapporten die technisch plausibel klonken maar complete onzin waren, gegenereerd door dezelfde modellen die nu worden aangeprezen als de redders van cybersecurity.
Dezelfde technologie die het onmogelijk maakte om echte bug reports te onderscheiden van geautomatiseerde rommel, wordt nu verkocht als de ultieme oplossing voor codebeveiliging. De bedrijven die het probleem veroorzaakten, verkopen nu de oplossing.
Volg het geld
De echte vraag is niet of deze tools werken. Ze werken. AI-codeanalyse is daadwerkelijk beter dan traditionele statische analyse. Stenberg zegt het zelf: "Wie geen AI code-analyzers gebruikt, geeft aanvallers tijd en ruimte." Dat is waar.
Maar "beter dan wat er was" is niet hetzelfde als "gevaarlijk goed." En het verschil tussen die twee is precies waar de marketingafdeling woont.
| Wat de marketing zegt | Wat de data laat zien |
|---|---|
| "Te gevaarlijk om te publiceren" | Eén lage-severity kwetsbaarheid in curl |
| "271 bugs in Firefox" | Niet onafhankelijk geverifieerd |
| "Bevestigde kwetsbaarheden" | 80% valspositief bij curl, bevestigd door zichzelf |
| "Exclusieve toegang" | Standaard enterprise-verkoopstrategie |
Anthropic jaagt op een beursgang. OpenAI vecht om enterprise-marktaandeel terug te winnen na een daling van 50% naar 27%. Beide bedrijven hebben een existentieel belang bij het idee dat hun modellen niet gewoon goed zijn, maar gevaarlijk goed. Het soort goed waarbij overheden nerveus worden en bedrijven hun portemonnee opentrekken.
Wat dit betekent voor jou
Als developer moet je door de marketing heen kijken. AI-securitytools zijn nuttig. Gebruik ze. Maar behandel ze zoals je elke andere tool behandelt: met gezond wantrouwen.
- Verifieer alles. Als een AI-tool vijf kwetsbaarheden claimt, neem dan aan dat vier ervan onzin zijn tot het tegendeel bewezen is.
- Laat je niet gijzelen door FOMO. De exclusiviteitsmarketing is ontworpen om je het gevoel te geven dat je achterblijft. Bestaande tools doen grotendeels hetzelfde.
- Kijk naar de bronnen. Als een persbericht zegt "271 bugs gevonden," vraag dan: hoeveel waren er echt? Hoeveel werden er gefixt? Wat was de severity?
- Onthoud wie betaalt. De bedrijven die deze tools bouwen hebben een direct financieel belang bij het maximaliseren van de angst en het minimaliseren van de nuance.
Tot slot
AI-securitytools zijn een echte verbetering. Dat is niet het punt. Het punt is dat twee bedrijven die gezamenlijk honderden miljarden waard willen zijn, een gecalculeerde angstcampagne voeren om hun waardering op te krikken, gehuld in het jargon van "verantwoorde publicatie."
De papegaai heeft een nieuw trucje geleerd: hij schreeuwt "gevaar!" en wacht tot je je portemonnee trekt.
Luister naar wat Stenberg zegt, de man die de code daadwerkelijk onderhoudt: "Misschien een beetje beter." Dat is de werkelijkheid. De rest is theater.