De mythos van AI-cybersecurity: Waarom uw security team een F1-pit crew moet worden

De race tegen de machine

In de Formule 1 duurt een perfecte pitstop minder dan twee seconden. In die fractie van een seconde worden vier banden verwisseld, aerodynamische aanpassingen gedaan en wordt de auto veilig terug de baan op gestuurd. Deze snelheid is geen resultaat van haast, maar van meedogenloze voorbereiding, perfecte telemetrie en een feilloze choreografie. Er is geen ruimte voor improvisatie wanneer de auto de pitbox inrijdt.

Voor enterprise software development en cybersecurity naderen we een vergelijkbaar omslagpunt. De tijd die een organisatie heeft tussen de ontdekking van een kwetsbaarheid en de actieve uitbuiting ervan (de patching-window), krimpt in hoog tempo. Gedreven door de opkomst van AI-modellen die autonoom kwetsbaarheden kunnen opsporen, verandert het speelveld fundamenteel. Om in dit nieuwe tijdperk te overleven, moeten engineering en security teams stoppen met acteren als traditionele IT-beheerders, en beginnen met opereren als een F1-pit crew.

1. Project Glasswing en de 'Mythos' capability: De economie van zero-days kantelt

Om te begrijpen waarom de urgentie zo hoog is, moeten we kijken naar wat er momenteel in de voorhoede van AI-ontwikkeling gebeurt. Een cruciaal voorbeeld hiervan is Project Glasswing, een initiatief van Anthropic in samenwerking met zwaargewichten als AWS, Apple, Cisco, CrowdStrike, Google, Microsoft, NVIDIA en Palo Alto Networks [1]. Het doel? Kritieke software-infrastructuur beveiligen in het AI-tijdperk.

Onder de paraplu van dit project bevindt zich een interne capability met de codenaam Mythos. Mythos is specifiek ontworpen voor vulnerability discovery: het opsporen van zero-day kwetsbaarheden in complexe codebases. Hoewel exacte releasedata of uitputtende cijfers over de huidige capaciteiten niet publiek zijn (en we weg moeten blijven van speculatie), is de impact van de preview-fase onmiskenbaar. Mythos bleek in staat om voorheen onbekende zero-days te identificeren in grote besturingssystemen, browsers en enterprise systemen [2].

Wat dit betekent voor CTO's en security leads is niet slechts een technologische update, maar een fundamentele verschuiving in de economie van vulnerability discovery. Historisch gezien kostte het vinden van een kritieke zero-day maanden aan handmatig, hooggespecialiseerd onderzoek. Het was duur en schaars. AI-modellen zoals die achter Mythos reduceren deze kosten van maanden aan menselijke arbeid naar seconden aan compute. Wanneer het ontdekken van zero-days schaalbaar en goedkoop wordt, verdwijnt het asymmetrische voordeel van de verdediger die leunt op security by obscurity of trage ontdekkingscycli [8].

2. Het tweede mythos-niveau: Detectie is een gepasseerd station

Dit brengt ons bij een hardnekkige mythe (een tweede 'mythos') binnen de huidige cybersecurity-industrie: de overtuiging dat AI primair een tool is voor betere detectie. Veel organisaties investeren zwaar in AI om anomalieën in netwerkverkeer te vinden of logbestanden te parsen.

Maar als AI de ontdekking van kwetsbaarheden automatiseert, en aanvallers AI gebruiken om de exploitatie ervan te automatiseren, dan is detectie alleen niet meer voldoende. Tegenstanders draaien inmiddels autonome tooling en lanceren parallelle campagnes op een schaal die voorheen ondenkbaar was [3]. Een alert in een dashboard is in dit scenario geen waarschuwing, maar een notificatie dat u al te laat bent.

"Mythos breekt elke bestaande SOC-workflow. Als het volume aan legitieme, kritieke alerts exponentieel stijgt, is autonome processing de enige architectuur die nog schaalt." [4]

Het echte verschil in het AI-tijdperk zit in response-snelheid. Een traditioneel Security Operations Center (SOC) dat leunt op menselijke analisten om alerts te triëren, verdrinkt in de ruis. Platformen claimen inmiddels dat AI-gedreven triage de kosten per alert kan terugbrengen naar centen, waarbij 95% van de alerts in minder dan twee minuten wordt verwerkt en de ruis met 99% afneemt [4]. De mens moet uit de initiële detectie-loop, en opschuiven naar de orchestratie- en goedkeuringslaag.

3. De F1 Pit Crew-analogie: Telemetrie, Triage en Choreografie

Hoe ziet een organisatie eruit die is geoptimaliseerd voor extreme response-snelheid? Hier biedt de Formule 1 een perfecte, en vaak aangehaalde, blauwdruk [9, 11]. Een succesvolle pitstop draait om twee componenten: de Pit Wall en de Pit Crew [10].

De Pit Wall: Telemetrie en AI-Triage

Aan de pitmuur zitten de strategen. Zij kijken niet naar de auto, maar naar schermen vol real-time telemetrie. In software development is dit uw observability stack, verrijkt met AI. De pit wall voorspelt wanneer de banden (of in ons geval, een specifieke open-source library) zullen falen. AI-agents fungeren hier als de race-engineers: ze filteren de terabytes aan logdata, correleren kwetsbaarheden met actieve dreigingen en bereiden de strategie voor voordat het incident de codebase raakt.

De Pit Crew: De Patching-Window

Wanneer de beslissing is genomen om in te grijpen, neemt de pit crew het over. Er is geen tijd voor overleg over wie welk wiel doet. De rollen zijn strikt gedefinieerd, de bewegingen zijn gechoreografeerd. Voor een engineering team betekent dit dat het proces van patchen, testen en deployen volledig geautomatiseerd moet zijn. Een patching-window van weken is onacceptabel; we praten over uren of zelfs minuten. Autonome systemen schrijven de patch, AI-agents draaien de regressietesten, en de menselijke engineer fungeert enkel nog als de 'lollypop-man' die het bord omhoog haalt en de release goedkeurt (human-in-the-loop).

4. Concrete consequenties voor Software Development Teams

Deze behoefte aan extreme snelheid en automatisering heeft directe gevolgen voor de manier waarop we software bouwen. De traditionele Secure Software Development Life Cycle (SSDLC) moet evolueren [5].

• Van Shift-Left naar Shift-Everywhere: Het adagium was altijd om security zo vroeg mogelijk ('left') in het proces te integreren. Maar met AI-agents die continu code genereren en aanpassen, is security geen fase meer, maar een continue staat. Security checks moeten overal plaatsvinden: tijdens het coderen, in de PR, tijdens de build, en in productie [8].
• De noodzaak van SBOM en Provenance: U kunt geen auto in twee seconden repareren als u niet weet welke onderdelen erin zitten. Een real-time, cryptografisch verifieerbare Software Bill of Materials (SBOM) is uw inventarislijst. Zonder inzicht in de provenance (herkomst) van uw code, bent u blind voor supply-chain aanvallen.
• AI Agents in de CI/CD Pipeline: AI wordt niet alleen gebruikt om code te schrijven, maar ook om deze te reviewen. Momenteel gebruikt 82% van de developers AI-coding tools, maar slechts 28% vertrouwt de output volledig [6]. En terecht: in sommige scenario's bevat AI-gegenereerde code 40-50% exploiteerbare kwetsbaarheden [7], en prompt injection is een reëel risico [6]. AI-agents in de CI/CD-straat moeten fungeren als meedogenloze, geautomatiseerde auditors die deze fouten afvangen voordat ze mergen.
• Secure-by-default Scaffolding: Developers moeten werken binnen frameworks die het onmogelijk maken om veelvoorkomende fouten te maken. Als een AI-coding assistant een SQL-injectie voorstelt, moet de onderliggende architectuur (bijvoorbeeld door verplichte ORM's) deze code weigeren te compileren.

5. Maandagochtend: Vijf stappen voor de startopstelling

De theorie is helder, maar wat kan een engineering organisatie aanstaande maandag concreet doen om de transitie naar een F1-model in te zetten? Hier zijn vijf actiegerichte stappen:

1. Implementeer keiharde SBOM- en Provenance-eisen: Maak het genereren van een SBOM een verplichte, falende stap in uw CI/CD-pipeline. Als een applicatie geen actuele componentenlijst kan overleggen, mag deze niet naar productie. Gebruik standaarden zoals SLSA (Supply-chain Levels for Software Artifacts).
2. Automatiseer de Triage-laag (Bouw de Pit Wall): Evalueer uw huidige SOC- en alert-infrastructuur. Als uw team nog steeds handmatig false-positives aan het wegklikken is, verliest u de race. Implementeer AI-gedreven triage-tools die de ruis reduceren en alleen gecontextualiseerde, kritieke incidenten doorlaten naar menselijke analisten.
3. Zet AI Agents in voor Autonomous Patching (in testomgevingen): Begin met het inzetten van AI-agents (zoals Dependabot on steroids) die niet alleen waarschuwen voor verouderde packages, maar autonoom de PR aanmaken, de code aanpassen en de unit tests draaien. Laat de uiteindelijke merge-beslissing voorlopig bij een senior engineer liggen.
4. Isoleer en monitor AI-gegenereerde code: Accepteer dat developers AI-assistenten gebruiken, maar behandel de output als untrusted input. Richt specifieke linting- en SAST-regels in die getraind zijn op de typische hallucinaties en kwetsbaarheden die LLM's introduceren.
5. Oefen de 'Drill' (Chaos Engineering): Een pit crew traint duizenden keren per jaar. Voer tabletop exercises en red-teaming sessies uit met gecomprimeerde tijdslijnen. Simuleer een zero-day in een kritieke library en meet de tijd (MTTR) tot de patch in productie staat. Optimaliseer de knelpunten.

De komst van AI-capabilities zoals Anthropic's Mythos betekent dat het tijdperk van trage, handmatige security definitief voorbij is. De organisaties die overleven, zijn niet de organisaties met de dikste muren, maar de organisaties met de snelste pit crew. De race is al begonnen.

Bronnen

1. Anthropic - Project Glasswing
2. D3 Security - "The Mythos Problem: 10,000 Zero-Days and the SOC That Can't Keep Up"
3. Prophet Security - "What Claude Mythos Actually Means for Your Security Program"
4. D3 Security - Autonomous Mythos Response / Morpheus AI
5. Veracode (apr 2025) - Securing the AI-Driven Development Environment
6. Snyk / O'Reilly Report: AI coding tools adoption and trust
7. Checkmarx: Vulnerabilities in AI-generated code
8. CSET Georgetown (aug 2025) - AI and the Software Vulnerability Lifecycle
9. InformationWeek - "How DevOps Is Like A Formula 1 Pit Crew"
10. CrowdStrike - "The F1 Pit Wall: A Better Metaphor for Teamwork"
11. CDO Magazine - "Information Security Is Like an F1 Pit Crew"