5 vragen die elke bestuurder nu moet stellen om AI-kwetsbaarheden op te sporen

donderdag, 30 april 2026 (13:43) - Frankwatching

In dit artikel:

Op 7 april maakte Anthropic bekend dat het Project Glasswing start: een besloten consortium van twaalf (vooral Amerikaanse) technologie- en beveiligingsbedrijven met exclusieve toegang tot Claude Mythos, een AI-model dat Anthropic te krachtig acht voor brede vrijgave. De deelnemers omvatten onder andere AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks; ruim veertig andere organisaties blijven ongenoemd. Opvallend: geen expliciet Europees bedrijf en geen toezichthouder aan tafel.

Claude Mythos toonde in tests aan dat het serieuze en vaak oude kwetsbaarheden kan vinden — onder meer een 27 jaar oude fout in OpenBSD, een 16 jaar oud lek in FFmpeg dat automatische scans eerder gemist hadden, en meerdere privilege-escalatieproblemen in de Linux-kernel. Het consortium zal de komende maanden kwetsbaarheden in vrijwel alle lagen van digitale infrastructuur doorzoeken, wat waarschijnlijk leidt tot een golf aan beveiligingsupdates.

Belangrijker dan de technische capaciteiten is volgens het artikel de governancevraag: wie bepaalt welke kwetsbaarheden eerst worden aangepakt, welke software prioriteit krijgt en wie buiten deze beslissingskring blijft? Met enkele grote spelers die nu bepalen welke risico’s en oplossingen prioriteit krijgen, staan nationale CIO’s, toezichthouders en Europese wetgeving (zoals de EU AI Act en NIS2) op achterstand. Intenties over “verantwoorde AI” zijn niet hetzelfde als robuuste governance: veel organisaties hebben beleidsstukken zonder concrete escalatiepaden, verantwoordelijkheidsverdeling of regels voor wat te doen bij unilaterale wijzigingen door leveranciers.

Vijf concrete vragen die leiders nu moeten stellen
1) Welke externe AI-afhankelijkheden hebben we en zijn die in kaart?
Maak een diepgaande inventarisatie van gebruikte SaaS- en andere oplossingen, identificeer ingebedde AI-componenten, leveranciers en welke data verwerkt wordt.

2) Wie beslist over wijzigingen bij AI-leveranciers?
Leg bestuurlijke besluitrol vast: wie mag akkoord geven als een leverancier van onderliggend model verandert, en op welke criteria?

3) Hoe compliant zijn we echt?
Vergelijk intern beleid met NIS2 en EU AI Act, benoem verantwoordelijkheden, escalatieroutes, auditmomenten en plan om hiaten te dichten.

4) Wat doen we als dezelfde partij zowel oplossing als bron van risico is?
Verspreid risico’s via meerdere leveranciers, onafhankelijke audits en versterk open-sourcealternatieven; vertrouw niet blind op één partij.

5) Welke mensen en investeringen zijn nodig?
Investeer in schaarse professionals die AI en governance verbinden; zie dit niet als kosten maar als infrastructurele investering.

Conclusie: Project Glasswing verandert het speelveld geopolitiek en infrastructureel. Leiders moeten snel van reactief naar sturend: inventariseren, besluitlijnen formaliseren, compliance toetsen, spreiding afdwingen en in mensen investeren. Welke van de vijf vragen zet u deze week bovenaan de agenda?