Mozilla vindt met AI-tool Mythos 271 Firefox-bugs en waarschuwt voor tweedeling

Mozilla gebruikt AI om bugs te vinden en te fixen in de code van Firefox. De nieuwe versie 150 van die webbrowser bevat fixes voor 271 kwetsbaarheden. Dit is dankzij de besloten preview van Anthropics AI-tool Mythos. Mozilla's cto waarschuwt voor een tweedeling in de softwarewereld.

Het gebruik van AI-tools om bugs te vinden zorgt voor een stortvloed aan bugmeldingen. Volgens cto Raffi Krikorian van Mozilla zijn er voor het aanpakken daarvan veel middelen nodig en dus kunnen grotere bedrijven voordeel behalen. Kleinere softwaremakers dreigen achter te blijven en kwetsbaar te worden.Mozilla Firefox logo

Mozilla is geen groot techbedrijf, maar behoort wel tot het selecte gezelschap dat toegang heeft tot de krachtige AI-tool Mythos van Anthropic. Daarmee vond de opensourcestichting 271 bugs in Firefox. Deze krijgen fixes in de nieuwste release, die gisteren uitkwam.

Eerder gebruikte Mozilla al Opus 4.6 van Anthropic om bugs te vinden in de code van zijn browser. Met die AI-tool vonden de ontwikkelaars 22 beveiligingsgaten die werden gedicht in Firefox 148. Het krachtigere Mythos vond in diezelfde browsercode het forse aantal van 271 kwetsbaarheden, meldt Mozilla.

Hoopvolle boodschap

Dit werpt de vraag op of ontwikkelaars dit wel kunnen bijhouden, blogt Firefox-cto Bobby Holley. Hij antwoordt daar positief op, met de hoopvolle boodschap dat AI-gebruik niet alleen is voor het vinden van bugs, maar ook voor het fixen daarvan. Dit kan volgens hem de asymmetrie doorbreken tussen aanvallers en verdedigers, waarbij aanvallers voor succes slechts een enkel gat hoeven te vinden terwijl verdedigers alle gaten moeten afdekken.

Door Jasper Bakker

Nieuwsredacteur

Feedback • 22-04-2026 10:37
62 • submitter: Tribits

22-04-2026 • 10:37

62

Submitter: Tribits

Lees meer

10 apr 2026

Een omslag voor cybersecurity: Claude Mythos is té goed in lekken vinden

105
Axios: Amerikaanse NSA blijkt al Anthropic Mythos te gebruiken ondanks conflict
Axios: Amerikaanse NSA blijkt al Anthropic Mythos te gebruiken ondanks conflict Nieuws van 20 april 2026
Anthropic praat met regering VS over toegang tot Mythos ondanks conflict
Anthropic praat met regering VS over toegang tot Mythos ondanks conflict Nieuws van 19 april 2026
NCSC waarschuwt bedrijven voor Claude Mythos: patch sneller en gebruik zelf AI
NCSC waarschuwt bedrijven voor Claude Mythos: patch sneller en gebruik zelf AI Nieuws van 15 april 2026
OpenAI brengt net als Anthropic cybersecuritymodel uit voor kleine groep klanten
OpenAI brengt net als Anthropic cybersecuritymodel uit voor kleine groep klanten Nieuws van 15 april 2026
Anthropic maakt programmeermodel Mythos niet openbaar vanwege hackgevaar
Anthropic maakt programmeermodel Mythos niet openbaar vanwege hackgevaar Nieuws van 8 april 2026
Meer producten en artikelen
Browsers Software development Marktontwikkelingen Privacy Politiek en recht Mozilla Firefox Anthropic Bugs Cybersecurity Generatieve AI Mythos

Reacties (62)

-Moderatie-faq
62
60
43
6
0
13
Wijzig sortering

Sorteer op:

Weergave:
duvekot 22 april 2026 11:25
Zie ook deze blog post van Mozilla:

https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/
Encouragingly, we also haven’t seen any bugs that couldn’t have been found by an elite human researcher. Some commentators predict that future AI models will unearth entirely new forms of vulnerabilities that defy our current comprehension, but we don’t think so. Software like Firefox is designed in a modular way for humans to be able to reason about its correctness. It is complex, but not arbitrarily complex1.
Reageer
Jedotw 22 april 2026 10:42
Het is toch schrikbarend dat er zo veel kwetsbaarheden gevonden zijn. Mozilla mag dan toch wel eens kijken naar hun eigen kwaliteitsprocessen.

Die tweedeling zie ik zo snel nog niet, in mijn ervaring hebben juist de kleine softwaremakers over het algemeen hogere kwaliteit van software (met name goed geborgd in hun ontwikkelproces). Een veel groter gevaar vind ik het zogenaamde vibe coding, waar deze AI tool de fouten niet gaat vinden omdat het getraind is op dezelfde data.
Reageer
The Zep Man
@Jedotw22 april 2026 10:51
Het is toch schrikbarend dat er zo veel kwetsbaarheden gevonden zijn. Mozilla mag dan toch wel eens kijken naar hun eigen kwaliteitsprocessen.
Gezien de hoeveelheid code valt mij dit nog mee. Ik verwacht ergere resultaten voor andere bergen code.

Een kwetsbaarheid hoeft ook niet meteen te leiden tot een succesvolle hack. Met gelaagde beveiliging zijn er veel kwetsbaarheden die op zich niet te misbruiken zijn, maar die wel onderdeel kunnen zijn van een complex aanvalspad waarin ook andere kwetsbaarheden misbruikt moeten worden. Ook dit soort kwetsbaarheden moet natuurlijk opgelost worden, maar het is niet alsof er 271 gegarandeerde manieren van remote code execution gevonden zijn.

[Reactie gewijzigd door The Zep Man op 22 april 2026 12:24]

Reageer
TEAser_ @The Zep Man22 april 2026 14:18
Dit dit dit en nog eens dit.

Daarnaast vrijwel elke kwetsbaarheid tegenwoordig vereist ook een menselijk component zoals je zag bij de Odido hack, de mens is geregeld de zwakste schakel als het om hacks gaat.
Reageer
Glashelder @Jedotw22 april 2026 11:12
Een veel groter gevaar vind ik het zogenaamde vibe coding, waar deze AI tool de fouten niet gaat vinden omdat het getraind is op dezelfde data.
De ene AI is de andere AI niet, ten eerste, en ten tweede kan een AI model dat bepaalde code heeft geproduceerd prima fouten vinden in de eigen code als de juiste vragen gesteld worden. Maar dat is een van de grootste problemen met vibecoding: als mensen zijn we getraind in het bouwen van software en om dat op een bepaalde manier te doen. Daar zijn we overigens belachelijk slecht in, daarom vinden we ook de ene zero day na de andere in software, maar so be it. Maar als we dan gaan vibecoden, dan verwachten we dat we compleet zonder richtlijnen en guidelines mee te geven code gaan krijgen die onderhoudbaar is en secure. Zo werkt het niet. Als je een stel Indiërs aan het werk zet (no offence) dan krijg je hetzelfde resultaat als je ze zonder richtlijnen aan het werk zet.

We moeten echt eens stoppen met die perceptie dat door AI geproduceerde code per definitie onveilig is, en door mensen veilig is. Er is juist heel veel bewijs dat mensen helemaal niet goed zijn in programmeren.

AI maakt programmeren toegankelijk voor iedereen en dat is waar het gevaar zit. Veel van deze mensen hebben niet de domeinkennis om deze AI tools correct aan het werk te zetten. Heb je die kennis wel, en gebruik je die correct, dan is AI + goede ontwikkelaar echt goud waard.

Programmeren met AI scheelt ontzettend veel tijd. Gebruik een deel van die extra tijd voor kwaliteitscontroles!

[Reactie gewijzigd door Glashelder op 22 april 2026 11:14]

Reageer
Jedotw @Glashelder22 april 2026 11:22
Programmeren met AI scheelt ontzettend veel tijd. Gebruik een deel van die extra tijd voor kwaliteitscontroles!
Dit is in een onderzoek al tegengesproken: "The developers predicted a 24 percent speedup, but even after the study concluded, they believed AI had helped them complete tasks 20 percent faster when it had actually delayed their work by about that percentage."

https://www.theregister.com/2025/07/11/ai_code_tools_slow_down/
Reageer
Glashelder @Jedotw22 april 2026 11:24
I know.. maar:
The developers then proceeded to work on their issues, using their AI tool of choice (mainly Cursor Pro with Claude 3.5/3.7 Sonnet) when allowed to do so. The work occurred between February and June 2025.
in die tijd is er echt enorme vooruitgang geboekt in AI land. Dit gaat nu echt niet meer op.
Reageer
Patriot @Glashelder22 april 2026 11:52
Maar hoeveel versies van AI hebben we nu al gehad die het "dit keer echt" kunnen? Ik vind het moeilijk om daar niet een klein beetje cynisch van te worden, te meer omdat ik ook het idee heb dat de doelpalen elke keer heel ergens anders worden gezet (nog even los van de asymmetrie die je ziet tussen de eisen die aan producten van mensen worden gesteld en de eisen die worden gesteld aan producten van AI).
Reageer
Moortn @Patriot22 april 2026 12:11
Ze kunnen steeds iets dat de vorige modellen niet (goed) konden, maar er is nog heel veel te verbeteren.

Vorig jaar kon AI nog niet fatsoenlijk tests genereren waarvan de code al bestond en mogelijke scenario's duidelijk waren beschreven. Hij bleef maar extra scenario's bedenken of de verkeerde uitkomsten gebruiken.
Nu kan hij daadwerkelijk code genereren dat doet wat ik wil, zonder dat het ergens buiten mijn prompt functioneel staat beschreven (enkel de architectuur en technische eisen en kaders).

Vorig jaar was het leuk om mee te spelen zonder dat het echt wat opleverde. De tijdsbesparing op het programmeren werd teniet gedaan door tijd die nodig was voor het maken en tweaken van de prompts. Dat is nu echt wel anders.
Reageer
fuzzyIon @Glashelder22 april 2026 11:44
Een nog groter gevaar is onvoldoende contained agents met veel te ruime rechten globaal. Tegenwoordig heb je vaak niet eens een exploit nodig. Je hebt met niet voldoende afgeschermde ai agent al een insider.

https://www.reco.ai/blog/the-kill-chain-is-obsolete-when-your-ai-agent-is-the-threat

https://www.reco.ai/blog/openclaw-the-ai-agent-security-crisis-unfolding-right-now
Reageer
Glashelder @fuzzyIon22 april 2026 13:00
Ik begrijp ook niet dat organisaties dit soort agents op deze manier inzetten eerlijk gezegd..
Reageer
TEAser_ @Glashelder22 april 2026 14:20
Behalve als de kopiër machine kopien maakt van kopien. Langzaam zal de AI zichzelf gaan trainen met code die het zelf geschreven heeft en dat leidt ongetwijfeld uiteindelijk tot problemen.

Daarnaast is het helemaal geen AI het is een fancy next word predictor
Reageer
Glashelder @TEAser_22 april 2026 14:21
Dat doen wij mensen ook massaal via sites als Stackoverflow...
Daarnaast is het helemaal geen AI het is een fancy next word predictor
En dat werkt gewoon heel goed. Wij mensen doen in essentie gewoon iets soortgelijks..
Reageer
P1nGu1n @Jedotw22 april 2026 10:49
Het is toch schrikbarend dat er zo veel kwetsbaarheden gevonden zijn. Mozilla mag dan toch wel eens kijken naar hun eigen kwaliteitsprocessen.
Firefox bestaat uit meer dan 30 miljoen regels code; een totaal andere orde van grote dan "de kleine softwaremakers". Het aantal bugs/kwetsbaarheden zal lineair, al dan niet exponentieel, stijgen met het aantal regels code.
Reageer
bantoo @P1nGu1n22 april 2026 10:51
Gemiddelde applicatie van 10k regels heeft ook >100 kwetsbaarheden, of die ook ooit gevonden worden hangt er van af hoe veel gebruik er van gemaakt wordt onder andere.
Reageer
IStealYourGun @Jedotw22 april 2026 11:12
De vraag is of elke kwetsbaarheid bruikbaar was of niet, ik vermoed het merendeel niet.

Wat niet wegneemt dat het nog steeds een bug is en dat het moet worden opgelost.
Reageer
demianmonteverd @IStealYourGun22 april 2026 11:48
Zo'n latente bug kan best weer misbruik mogelijk maken later als men iets wijzigt later. Dit komt best vaak voor.
Reageer
fuzzyIon @Jedotw22 april 2026 11:37
Hoe lang zou een team developers er over doen om die aantallen te vinden. Het is niet zozeer de kennis maar de snelheid dat een potentieel gevaar vormt. Met name de potentiele dreiging waarbij de makers van software het tempo van de nieuwe gevaren niet kunnen bijbenen met patchen. Mozilla heeft 274 gaten gepatched waarvan een aanvaller er maar een hoeft te geruiken wellicht. Dat is een scheve verhouding die niet stand houd wanneer mythos in verkeerde handen komt. De echte kwaadwillenden hebben geen ai nodig voor hun activiteiten maar zouden net als anderen ermee een enorme versneller van hun workflow hebben.
Reageer
demianmonteverd @fuzzyIon22 april 2026 12:02
Ooit... ontdekte men opeens overal buffer overflows in bijna alle software (middels fuzzing vaak). Ook was er in het verleden een tijd dat men met die OWASP-scanners SQL-injections vond overal. En daarna kwam men achter .env-files, sqldumps, backups, .git, via google, etc.. Er zijn overheden die zero-days verzamelen en gebruiken om later bijv. Stuxnet te maken. We hebben ook gemeenten die data uploaden naar chatgpt. En nu komt er vibe-attacking bij.
Reageer
Jazco2nd
@Jedotw22 april 2026 11:34
Het valt juist ENORM mee..

Maar wat is jouw vergelijkingsmateriaal? Daar ben ik wel benieuwd naar.
Reageer
Mathijs Kok @Jazco2nd22 april 2026 12:36
Het valt juist ENORM mee..

Maar wat is jouw vergelijkingsmateriaal? Daar ben ik wel benieuwd naar.
En wat is jouw eigen vergelijkingsmateriaal?Je hebt namelijk zelf exact eenzelfde mening zonder daar referenties bij te geven. Ik weet niet of het veel of weinig is omdat ik geen vergelijking kan maken. Jij wel blijkbaar?
Reageer
Jazco2nd
@Mathijs Kok22 april 2026 12:45
Yes ik wel.. na 20 jaar. Daarom werd ik getriggerd om te reageren. Maar niet voldoende om vervolgens hier werk van te maken en alle onderzoek voor jou te doen. Dat mag je zelf doen :)
Reageer
Xfade @Jedotw22 april 2026 10:51
beetje kort door de bocht reactie.

ik denk dat deze tool bij élke browser zulke aantallen zal vinden. dus ook bij de grote jongens.
Reageer
maevian @Jedotw22 april 2026 10:54
Claude Mythos heeft zelf een 27 jarige kwetsbaarheid ontdekt in OpenBSD, wat net bekend staat om stricte veiligheid.
Reageer
bzuidgeest
@Jedotw22 april 2026 11:17
De ene bug is de andere niet. Dit stelt op de codebase niets voor.

En de AI kan ook fouten vinden in vibe code spul. Ze worden steeds beter in "logica"
Reageer
Tweakez @Jedotw22 april 2026 11:35
Je reactie is wel erg kort door de bocht, maar goed. Wellicht toch iets meer inlezen over Claude Mythos en de bevindingen die het heeft gedaan. Waaronder ook een aandeel (naar verwachting) in de 167 bugfixes die Microsoft vorige week dinsdag heeft gereleased ;-)
Reageer
NBK 22 april 2026 10:43
Wat voor kwetsbaarheden worden er gevonden dan? Buffer overflow en injectie kwetsbaarheden kijken mij redelijk makkelijk te vinden met tools. Maar geavanceerde kwetsbaarheden die afhankelijk zijn van combinaties van software modules lijkt mij best een uitdaging.
Reageer
Blokker_1999
@NBK22 april 2026 10:54
Moet je de whitepaper eens lezen, of een analyse van de bug die Mythos gevonden heeft in ffmpeg. Dat is net een voorbeeld van een combinatie van modules en verschillende kennisdomeinen die je nodig hebt om de bug te kunnen vinden.

Ik verwacht dan ook dat de komende maanden meer van dat soort kwetsbaarheden gevonden gaan worden door tools zoals Mythos, en aan een veel hoger tempo dan wat we de afgelopen 10 jaar gezien hebben.
Reageer
fuzzyIon @Blokker_199922 april 2026 11:52
Als je dat echt goed beheerst kun je gelijk meedoen aan pawn2own en een paar flinke bounties opeisen.
Reageer
Martinspire @NBK22 april 2026 11:32
Grote kans dat 99% ook helemaal geen bedreiging vormt. Een dependency van een dependency die mogelijk in een bepaalde manier gebruikt kan worden, maar dat dan niet in dat project wordt gedaan en daardoor meer voor de bühne is dan een werkelijke bug.
Reageer
Eksit 22 april 2026 10:42
Wat zou het normale aantal gevonden bugs zijn zonder ai?
Reageer
Luchtbakker @Eksit22 april 2026 10:46
AI vind alleen bugs die al elders in een bepaalde vorm bekend zijn. Het is niet dat het nieuwe potentiële bugs zal vinden die nog nooit ontdekt zijn.
Reageer
Blokker_1999
@Luchtbakker22 april 2026 10:52
Ja, en nee. Het heeft veel voordelen tegenover menselijke debuggers die op zoek gaan. Ik vind het voorbeeld dat ze aangaven met betrekking tot ffmpeg daar een heel mooi voorbeeld van. Als mens moet je voor die bug diepgaande kennis hebben van verschillende domeinen. En de kans dat je zulke mensen tegen komt is enorm klein. Voor een AI maakt het niet uit. Geef de AI voldoende ruimte om context op te bouwen, en die vindt gewoon bugs door fouten die we als mensen gemaakt hebben in het schrijven van de code.

Dat is waar de meerwaarde vandaan komt van AI.

En Mythos gaat dus een stap verder dan voorgaande AIs. Want het antwoord van de vraag van @Eksit staat uiteindelijk ook in het artikel. Met Opus had men 22 kwetsbaarheden gevonden, met Mythos zijn het er ineens 10 keer zoveel.
Reageer
Eksit @Blokker_199922 april 2026 12:19
Dat antwoord staat er niet echt in. Ik bedoelde geheel zonder AI.
Reageer
Heroic_Nonsense @Luchtbakker22 april 2026 11:40
Ik denk dat je je moet verdiepen in wat Mythos is.

Mythos is geen LLM (waar jij aan denkt, en dat gevoed wordt zoals jij dat nu veronderstelt) traditionele zin. Mythos is een AI die is gebouwd om te programmeren. Het heeft dus een enorme berg kennis van allerlei programmeertalen, kent alle best practices van die talen en heeft daarnaast het analytisch 'denk'vermogen om verbanden te zien.

Hierdoor kan Mythos verbanden leggen die mensen niet kunnen leggen (anders waren die bugs wel eerder ontdekt). Bijvoorbeeld een kwetsbaarheid die alleen optreedt onder zeer specifieke omstandigheden die tijdens het testen niet zijn bekeken, en ontstaan doordat op meerdere plekken in de code dingen gebeuren die -samen- voor die kwetsbaarheid zorgen.

De meeste (eigenlijk alle) developers zien die kwetsbaarheid niet in de code, omdat mensen over het algemeen niet over voldoende analytisch denkvermogen beschikken (echte topminds uitgesloten, maar die doen andere dingen dan debuggen).

Mythos heeft kwetsbaarheden gevonden in BSD-code uit de jaren 90 (die nog steeds gebruikt wordt in de huidige BSD-based systemen, waaronder een groot deel van de servers op internet en zo'n beetje alle producten van Apple). Die fouten zijn dus in 30 jaar codechecking niet gevonden door een mens, maar Mythos zag ze meteen.

Dus nee - die kwetsbaarheden stonden niet uitgelegd op een website, of in een PDF of zoiets waarop Mythos volgens jouw denkwijze op zou zijn getraind. Mythos is alleen getraind in hoe de syntax van de programmeertalen werkt en kent alle ins en outs van die talen.

[Reactie gewijzigd door Heroic_Nonsense op 22 april 2026 12:24]

Reageer
Horla @Heroic_Nonsense22 april 2026 12:05
Ik ga zelfs niet verder lezen dan je eerste echte alinea. Mythos is wel degelijk gebaseerd op de principes van een LLM. Twee sec googlen (of AI gebruiken) zou je dat leren.
Reageer
Heroic_Nonsense @Horla22 april 2026 12:24
Ik stel voor dat je toch even verder leest.
Reageer
Kevinp @Luchtbakker22 april 2026 10:53
Het woord alleen is wel een grote. Het artikel schrijf inderdaad niet op van die 271 hoeveel er bekend zijn. Maar de manier van schrijven suggereerd dat het 271 nieuwe bugs zijn.
Reageer
downtime @Luchtbakker22 april 2026 11:14
Dat is niet zo relevant. Elke combinatie van instructies is wel een keer in een ander project voorgekomen. Elke bug is wel een keer in andere code gevonden. Er is niet echt wat nieuws onder de zon.
Reageer
Call of Duty @Luchtbakker22 april 2026 11:58
Dat is niet waar. Dat was AI van voor 2015 ongeveer. Tegenwoordig draait AI de gewoon de code virtueel in zijn geheugen. Als de AI ziet dat een variabele in stap A wordt gevalideerd, maar in stap G -via een omweg- onveilig wordt gebruikt, ontdekt hij een bug die nog nooit eerder is gedocumenteerd.

In alle nieuwsberichten over Mythos gaat het om duizenden zero-day kwetsbaarheden, dus niet al in bepaalde vorm bekend. Deze zijn gevonden in grote open-source projecten en besturingssystemen. Dit waren fouten die al 20 jaar onopgemerkt bleven door menselijke security-experts en traditionele scanners.

Daarnaast gebruikt AI allemaal kleine onschuldige foutjes en combineert deze tot één grote aanval. Dat is creativiteit in logica, niet het simpelweg herhalen van wat al bekend is.

We gaan echt vreemde tijden tegemoet denk ik, heel benieuwd hoe we ons hier tegen moeten wapenen.
Reageer
Foofah @Luchtbakker22 april 2026 10:48
Waar bepaal jij dat op? Heb je een link naar dat artikel?
Reageer
Luchtbakker @Foofah22 april 2026 10:51
Waar bepaal jij dat op? Heb je een link naar dat artikel?
Voor zover ik weet is Ai nog steeds een niet-zelf denkend systeem en gaat het altijd uit van data dat hem gevoed is.
Reageer
bwerg @Luchtbakker22 april 2026 11:09
the question of whether a computer can think is no more interesting than the question of whether a submarine can swim -- Edsger Dijkstra
Een AI is wat dat betreft vrijwel hetzelfde als een mens. Het heeft bepaalde concepten geleerd, het ziet dingen als nieuwe invoer en daaruit concludeert het weer output die het teruggeeft. Een developer extrapoleert de meeste tests die die doet toch ook maar uit de ervaringen die hij in zijn leven heeft opgedaan, de theorie die hij geleerd heeft, en de requirements die bij dat specifieke stuk software horen?

Er leeft bij sommigen nog steeds een misvatting dat er een fundamenteel onderscheid is tussen nieuwe dingen bedenken ("creatief zijn") en extrapoleren uit bestaande data ("reproduceren"), en dat je met reproduceren maar een heel beperkte set aan vaardigheden te pakken zou hebben. Maar ook een muzikant baseert zijn muziek op de bestaande muziek die die in zijn leven gehoord heeft, de theorie die die in het conservatorium geleerd heeft, de meningen die mensen over muziek hebben. Daarmee dek je echt de overgrote meerderheid van de muziek die je kan maken wel af. Met bugs vinden is dat niet anders.

Wat wel een verschil is is dat AI is in bepaalde aspecten beter is dan wat mensen produceren en in bepaalde aspecten slechter. Dat zijn echter geen inherente verschillen, en aangezien de ontwikkelingen nu ontzettend hard gaan is het te verwachten dat de zaken waarin AI nu slechter is dan een mens in de nabije toekomst ook beter zullen gaan. Dat is slechts een gevolg van capaciteit en technische uitwerking.

Of, andersom verwoord als reactie op
AI vind alleen bugs die al elders in een bepaalde vorm bekend zijn.
Bijna alle bugs zijn dan ook "bugs die al elders in een bepaalde vorm bekend zijn". Buffer overflows, code-injectie, supply chain attacks, etc. (zie de OWASP-lijst) beslaan het overgrote deel van de bugs en zijn qua structuur vaak vergelijkbaar. Soms worden er concepten gecombineerd en zijn er variaties. Daar komt een AI tegenwoordig wel uit. Hij zal vast niet zelf op het idee gekomen zijn om quantum-computing te gebruiken om encryptie te kraken, maar zoiets origineels en exotisch (op het moment dat dat bedacht werd) is niet waar de bulk van de security-problemen zit.

[Reactie gewijzigd door bwerg op 22 april 2026 11:17]

Reageer
Glashelder @Luchtbakker22 april 2026 11:04
Dat is echt veel te simplistisch gedacht. AI kan wel degelijk verbanden leggen en daaruit volgend bugs vinden die niet eerder door mensen ontdekt zijn.

Mensen overschatten zichzelf structureel. Mensen worden ook gevoed en getraind met data (alleen bizar traag vergeleken met AI).
Reageer
Orangelights23 @Ethnic22 april 2026 11:33
Nonsense roepen en een link droppen draagt niet echt bij aan het gesprek.
Reageer
Mathijs Kok @Ethnic22 april 2026 12:52
Uit het artikel dat je dropped: "In the case of Mythos, we still do not know enough about to know whether these hopes or fears are justified, or more a reflection of the hype surrounding the industry."

De schrijver van het artikel (dat zeker niet in lijn ligt met artikelen uit dev hoek) zegt dat hij twijfelt. Jij denkt dat het bewijst dat het nonsense is. Dat rijmt niet. Als je hier echt iets over wil weten en meepraten, moet je de hardcore forums volgen. Daarin ruik je de angst die veel coders hebben voor hun eigen code.

Uit een besloten Discord met mensen die de tool hebben kunnen gebruiken: "Holy crap on a cracker, if the wrong people get their hands on this tool right now, major companies will be in deep deep dodo. The holes are so big you could drive a truck through, and we simply do not have the manpower to fix them in time. The only fix would be to take services offline.'
Reageer
aliberto @Eksit22 april 2026 11:00
Voor de geïnteresseerden, zaterdag 18 april was er een uitzending a 13:56 minuten op YouTube bij NOS op 3 genaamt : "Is dit de beste hacker ooit?".

Het wordt in begrijpelijke taal uitgelegd hoe Mythos is ontstaan en wat zijn mogelijkheden zijn.

Veel plezier ermee.
Reageer
Mathijs Kok @Eksit22 april 2026 12:38
Wat zou het normale aantal gevonden bugs zijn zonder ai?
Als je op dit moment (en de komende weken) al ziet dat er enorme fixlists voorbij komen, dan weet je in elk geval dat Claude er meer kan vinden. Dit is echt een kleine revolutie. Het antwoord op je vraag staat overigens in het artikel, gewoon lezen en je weet het.

[Reactie gewijzigd door Mathijs Kok op 22 april 2026 12:40]

Reageer
Neverwinterx 22 april 2026 10:56
Waarom vind ik die 271 vulnerabilities dan niet terug onder https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/ ?

Dat lijstje bevat er 41 rechtstreeks. De onderste 3 hebben wel links naar een lijstje van bugs (54+153+106). Dus ik neem aan dat het daaronder zit? Om ze effectief te zien heb je speciale access nodig.
Reageer
imqqmi @Neverwinterx22 april 2026 11:17
Tja, ik denk dat het verstandig is om te wachten tot het gros is geüpdatet, voordat kwetsbaarheden publiek worden gemaakt. Dan nog zullen er altijd een bepaald percentage met oude versies blijven draaien die kwetsbaar zijn.
Reageer
AlterEgo @imqqmi22 april 2026 11:36
...en nadat ook de ESR verise is bijgewerkt, hoop ik.
Reageer
Davey400 22 april 2026 12:27
Firefox. Free and Open Source.
Met dus als voordeel dat iedereen bugs kan vinden, dat is tenminste een veelgehoord argument dat vooral juist tegen closed source gebruikt wordt.
Maar nu blijkt dat in werkelijkheid alsnog Mozilla zelf een tool aan de slag moet zetten om echt een hele stapel bugs te vinden die tot nu toe door geen enkel community-lid was opgemerkt, of in ieder geval niet gerapporteerd.

Maakt dat open source nu deze tooling beschikbaar is niet juist gevaarlijker dan closed omdat iedereen nu met de juiste tooling in mum van tijd stapels bugs in de code kan vinden (en misbruiken), waar dat met closed source alleen door trial and error kan?

(Geen populaire vraag, vermoed ik…)
Reageer
thomasmoors @Davey40022 april 2026 13:13
Dat is zeker niet zonder meer correct. Aangezien je van closed source client software ook de binary krijgt kan een llm deze tegenwoordig ook relatief eenvoudig reverse engineeren vanuit dit formaat en zo alsnog deze code analyseren. Daarnaast is er de opvatting onder security experts: security through obscurity is no security at all.
Reageer
Mathijs Kok @Davey40022 april 2026 12:55
In open source is het niet moeilijk om coders te vinden. Het vinden van testers is echt extreem moeilijk, dus bij open source zijn de eerste users de testers. Als je dat weet is dat niet erg maar zelf loop ik altijd een versie achter omdat ik vaak genoeg problemen heb gehad met de eerste stable versies.
Reageer
DataMan 22 april 2026 10:39
Leve de vooruitgang.
Reageer
Booster 22 april 2026 11:23
Ik kan dit zo snel niet terugvinden, maar is tijd besteed aan bepalen of de bevindingen ook daadwerkelijk kwetsbaarheden zijn, of is dit simpelweg een telling van het aantal items uit een rapport? Ze zeggen dat er 'fixes' zijn, maar vraag is natuurlijk deels wat voor risico deze vulnerabilities precies opleveren/opleverden.

[Reactie gewijzigd door Booster op 22 april 2026 11:26]

Reageer
imqqmi 22 april 2026 11:27
Ik denk dat de tweedeling vooral is omdat sommige wel en sommigen geen toegang hebben tot Mythos. Maar andere AI modellen worden ook steeds beter natuurlijk, het is een kwestie van tijd. Staatshackers zullen zeker proberen toegang te krijgen tot Mythos.
Reageer
Olympus user 22 april 2026 10:51
Iets wat niet perfect is en nog in de kinderschoenen staat fouten laten zoeken is een beetje mwa mwa. Op zich geeft het niet als deze mogelijke fouten maar goed gecontroleerd worden en niet door dezelfde AI worden hersteld.
Reageer

Om te kunnen reageren moet je ingelogd zijn