AI-beveiligingsagenten zijn ontworpen om cyberbeveiliging naar een hoger niveau te tillen. Zullen aanvallers deze AI-agenten misbruiken, en wat met de rol van cyberbeveiligingsexperten?
De eerste AI-beveiligingsagenten zien het levenslicht. Anthropic lanceerde recent zijn AI-beveiligingsagent Claude Mythos, gevolgd door OpenAI met het cyberbeveiligingsmodel GPT-5.4-Cyber. Dergelijke modellen moeten in staat zijn om kwetsbaarheden te vinden en op te lossen, nog voordat de aanvallers dat doen. Maar wat als zij met dezelfde wapens strijden?
Keanu Nys, Head of Offensive Security bij Spotit, kijkt met een voorzichtig positieve blik naar deze evolutie. “Zolang we dezelfde AI inzetten om de strijd aan te gaan met aanvallers, nemen de verdedigers de bovenhand.”
AI-beveiligingsagenten
De eerste AI-beveiligingsagenten zijn een feit. Anthropic introduceerde recent zijn AI-beveiligingsagent Claude Mythos. Dit nieuwe model is ontworpen om kwetsbaarheden en beveiligingsproblemen op te sporen en op te lossen. Volgens Anthropic kon het model meteen duizenden kwetsbaarheden oplossen en slaagde het erin om een 27 jaar oud lek in OpenBSD en een 16 jaar oude fout in FFmpeg op te sporen, ondanks miljoenen eerdere geautomatiseerde tests.
Niet veel later lanceerde OpenAI een gelijkaardige AI-beveiligingsagent gebaseerd op GPT-5.4, namelijk GPT-5.4-Cyber. Het model is momenteel enkel beschikbaar voor gescreende beveiligingsleveranciers, organisaties en onderzoekers die onder OpenAI’s “Trusted Access for Cyber”-programma vallen. Aangezien het model gebaseerd is op een bestaand model, namelijk GPT-5.4, zal het naar verwachting na een testperiode breder beschikbaar komen.
Anthropic daarentegen is naar eigen zeggen voorzichtig met zijn model en geeft maar een handvol bedrijven toegang. “Een dergelijk AI-model kan ook schade berokkenen als het in de verkeerde handen terechtkomt”, vertelde Logan Graham, Frontier Red Team Lead bij Anthropic.
Sinds de aankondiging van deze nieuwe AI-beveiligingsagenten klinkt in de media veel vrees over dergelijke modellen. Gaan aanvallers op die manier AI kunnen inzetten om kwetsbaarheden te ontdekken, nog voordat bedrijven het bestaan ervan weten?
Tweesnijdend zwaard
“Een AI-beveiligingsagent is een zwaard dat aan twee kanten snijdt”, begint Nys. “De grootste vrees is dat aanvallers er kwetsbaarheden mee vinden nog voor die publiek bekend zijn. Maar dezelfde AI is ook beschikbaar voor de verdedigende kant”, legt hij uit. “Ontwikkelaars kunnen er kwetsbaarheden mee opsporen in hun eigen code, nog voor dat kwaadaardige software door aanvallers geïnstalleerd wordt.”
In theorie zal de aanvaller met AI geen lekken meer vinden die de AI aan de andere kant al heeft gedicht. “In die situatie hebben verdedigers dus de bovenhand en valt er voor de aanvallers minder te rapen. Dat is natuurlijk het ideale scenario”, benadrukt Nys.
In de praktijk kan dat er anders uitzien. “Er zullen altijd applicaties zijn die die AI-verdedigingslinie nog niet hebben”, legt hij uit. “Maar op termijn ligt het voor de hand dat AI standaard negentig procent van de kwetsbaarheden wegwerkt bij elke nieuwe applicatie of update.”
Beter beschermd dan je denkt
Niet alle bedrijven beschikken over evenveel IT-budget of middelen om hun verdedigingslinie met AI op punt te stellen. Toch zijn “kleine organisaties soms beter beschermd dan ze denken”, volgens Nys.
“Kleine bedrijven ontwikkelen zelden zelf applicaties en kopen die meestal aan, vaak als SaaS-oplossing van grotere organisaties. Die applicaties zijn in principe al veiliger, krijgen sneller beveiligingsupdates en hebben standaard minder bugs”, legt hij uit. “Op voorwaarde dat bedrijven die applicaties veilig instellen zodat er geen misconfiguraties ontstaan.”
Vervangt AI de beveiligingsexpert?
De vrees dat AI jobs zal vervangen, heerst al langere tijd. Deze evolutie zou ook een nieuwe wending kunnen geven aan de rol van ethische hacker of pentester. Maar Nys maakt zich daar momenteel geen zorgen over.
“De impact op de rol van de ethische hacker verschilt niet veel van die op andere beroepen”, stelt hij. “Net zoals AI ontwikkelaars efficiënter maakt maar niet vervangt, geldt hetzelfde voor ethische hackers. De algemene tendens is dat er minder profielen nodig zullen zijn, maar dat die efficiënter zijn en dus een pak meer werk kunnen verzetten.”
Over het algemeen kijkt Nys positief naar deze evolutie. “Zolang AI als bescherming op hetzelfde tempo evolueert als de AI van aanvallers, zal de verdediger in zijn voordeel zijn”, besluit hij.