Nederlandse overheid benadert AI-model Mythos met voorzichtigheid ondanks geplande implementatie

De Nederlandse overheid benadert het AI-model Mythos van het Amerikaanse bedrijf Anthropic met voorzichtig optimisme, ondanks plannen voor een gecontroleerde implementatie binnen federale instanties. Dit blijkt uit uitspraken van Greg Barbaccia, de Nederlandse Chief Information Officer (CIO), tijdens het Workday Federal Forum in Den Haag.

Barbaccia benadrukte dat de overheid nog geen directe ervaring heeft met Mythos buiten evaluaties en benchmarktests. Geen enkele Nederlandse overheidsdienst heeft het model momenteel geïmplementeerd. Wel heeft de Rijksdienst voor Cybersecurity de coördinatie van de aanpak op zich genomen.

Tijdens het forum gaf Barbaccia aan dat AI-gestuurde cyberbeveiliging snel zal evolueren. "We staan voor een wereld waarin AI-defensies de aanvallers kunnen bijhouden," aldus Barbaccia. "Uiteindelijk moeten de bots de bots vinden."

Gecontroleerde uitrol naar overheidsdiensten

Eerder deze maand stuurde Barbaccia een circulaire naar kabinetsdepartementen om hen te informeren over de plannen van het Ministerie van Financiën voor een gecontroleerde uitrol van Mythos. De overheid ziet in het model zowel een potentieel offensief risico als een waardevolle defensieve tool. Anthropic beweert dat Mythos tijdens tests duizenden onbekende, hoogrisicovolle kwetsbaarheden heeft geïdentificeerd in belangrijke besturingssystemen en webbrowsers – sommige al decennialang aanwezig.

Van lab naar echte netwerken

De grootste uitdaging voor de overheid is of deze capaciteiten ook werken in complexe, goed beveiligde netwerken zoals die van de overheid. Barbaccia was duidelijk over de onzekerheden: "Ik denk dat het model beginners in cyberaanvallen efficiënter maakt, maar we weten nog niet hoe effectief het is tegen echte bedreigingen."

De evaluaties tot nu toe zijn voornamelijk gebaseerd op laboratoriumomstandigheden. "Een kwetsbaarheid vinden en deze daadwerkelijk exploiteren in een verdedigd netwerk zijn twee verschillende dingen," aldus Barbaccia. Hij wees op de CVE-catalogus, een lijst met bekende softwarefouten, als een mogelijk toepassingsgebied waar Mythos snelheid kan bieden. Een menselijke analist zou hier veel tijd voor nodig hebben, terwijl een AI-model dit veel sneller kan doen.

Snelheid vs. realiteit

Barbaccia waarschuwde echter dat snelheid niet automatisch betekent dat een kwetsbaarheid een daadwerkelijke bedreiging vormt. "Er is een groot verschil tussen een kwetsbaarheid die in een nanoseconde exploiteerbaar is tijdens een BIOS-boot en de realiteit van een aanval in de praktijk," legde hij uit. "We moeten ons afvragen: waar liggen onze kroonjuwelen? En hoe beschermen we die op een manier die de moeite waard is?"

Voor netwerkverdedigers binnen de overheid, die werken met beperkte middelen, is dit een bekend dilemma. Mythos zou de snelheid van risico-analyse kunnen verhogen, maar de daadwerkelijke waarde hangt af van de vraag of het model ook in de praktijk betrouwbaar is.