Het AI-model Claude Mythos Preview van Anthropic kan binnen enkele uren, soms zelfs minuten, werkende exploits ontwikkelen voor bekende kwetsbaarheden. Dit model, aangekondigd begin april als een van de meest geavanceerde AI-systemen, wekt zorgen over de versnelde mogelijkheden voor aanvallers om kwetsbaarheden te misbruiken. Eerder toonde Anthropic al aan dat het model duizenden ernstige beveiligingsfouten kan vinden in onder meer Firefox en meer dan 1.000 open source softwareprojecten.

Nu blijkt dat Claude Mythos Preview deze ontdekkingen ook kan omzetten in werkende exploits, wat de dreiging van N-day aanvallen vergroot. N-days zijn kwetsbaarheden die al gepatcht zijn, maar nog niet door alle systemen zijn bijgewerkt. Volgens Anthropic zijn N-days zelfs gevaarlijker dan zero-days, omdat aanvallers de patches kunnen analyseren om exploits te ontwikkelen. Het AI-model automatiseert en versnelt dit proces aanzienlijk, waardoor het ontwikkelen van exploits niet langer het grootste knelpunt is in een aanvalscampagne.

In tests ontwikkelde Claude Mythos Preview binnen enkele uren zestien werkende exploits voor Firefox en Windows. Voor Firefox werden binnen minuten proof-of-concept codes gegenereerd voor 18 beveiligingspatches, waarbij Mythos Preview 14 PoC’s produceerde. Ook crashes werden omgezet in werkende exploits, waarbij Mythos Preview acht exploits creëerde binnen ongeveer 12 uur. Bij Windows, waar geen broncode beschikbaar is, maakte het model binnen 31 minuten de eerste PoC en binnen 18 uur acht werkende exploits voor kernelkwetsbaarheden die tussen januari en februari 2026 werden bekendgemaakt.

Omdat Windows-patches gemiddeld pas na zeven dagen op 90% van de apparaten zijn geïnstalleerd en vaak pas na elf dagen een geforceerde herstart volgt, maakt dit model het exploiteren van kwetsbaarheden binnen deze patch gap haalbaar. Anthropic benadrukt dat hoewel het omzetten van exploits in een daadwerkelijke aanval nog extra stappen vereist, het ontwikkelen van de exploit zelf nu van dagen naar uren is teruggebracht. Meer informatie over de risico’s van N-day exploits is te vinden in het rapport van Anthropic.