Waarom Claude Mythos Preview een wake-upcall is voor Wall Street

Anthropic’s Claude Mythos Preview is niet ontworpen als aandelenadviseur, kredietanalist of handelsassistent.

Het model bevindt zich in een ongemakkelijker hoek van kunstmatige intelligentie: cyberbeveiliging.

Anthropic zegt dat Mythos voorheen onbekende softwarekwetsbaarheden kan identificeren en exploiteren in alle belangrijke besturingssystemen en webbrowsers.

Voor banken, vermogensbeheerders, verzekeraars, beurzen en betaaldienstverleners raakt die bewering een veel gevoeliger terrein dan productiviteit.

De financiële sector draait op gedeelde software, cloudproviders, betalingsinfrastructuur, dataleveranciers en decennialange interne systemen.

Als een AI-model zwaktes sneller kan vinden dan instellingen ze kunnen dichten, is het risico niet langer slechts een technologisch probleem. Het wordt een vertrouwensprobleem voor de markt.

Anthropic heeft Mythos Preview niet gepresenteerd als een algemene publieke release.

Het model wordt via beperkte toegang gehanteerd, maar voor de financiële sector telt vooral de getoonde capaciteit: AI-systemen worden sneller in het vinden van softwarezwaktes en het omzetten daarvan in werkende exploits.

Een cybermodel met financiële gevolgen

De eerste fout zou zijn Mythos als een algemene AI te behandelen.

In tegenstelling tot consumentgerichte chatbots of de AI-assistenten die nu worden getest voor research, compliance en klantcontact, doet Mythos ertoe vanwege wat het suggereert over de volgende fase van machinaal snelle ontdekking van kwetsbaarheden.

Anthropic heeft gezegd dat hun red-team tests aantonen dat Mythos Preview zero-day-kwetsbaarheden in elk groot besturingssysteem en elke grote webbrowser kan identificeren en exploiteren wanneer een gebruiker daar opdracht toe geeft.

Dat zou in elke sector opvallend zijn, maar voor de financiële sector is het extra scherp.

Banken onderhouden niet alleen websites en apps. Ze hebben enorme technologieomgevingen met kernbanksystemen, handelsplatforms, betalingsgateways, risk-engines, klantendatabanken, cloudimplementaties en koppelingen met derden.

Een deel van die infrastructuur is modern, maar veel is verouderd, sterk aangepast en moeilijk te vervangen.

In grote instellingen is het zelfs een uitdaging om het volledige kaartbeeld van softwareafhankelijkheden te identificeren.

Een model dat de ontdekking van kwetsbaarheden versnelt, verandert de balans van druk. Verdedigers kunnen zwakke punten mogelijk eerder vinden.

Maar aanvallers, als zij vergelijkbare capaciteiten verwerven, kunnen de tijd tussen ontdekking en exploitatie comprimeren.

Dat is het centrale dilemma: Mythos zou het financiële stelsel kunnen versterken, maar alleen als verdedigers zijn bevindingen sneller kunnen absorberen en erop kunnen handelen dan tegenstanders vergelijkbare tools kunnen bewapenen.

Wanneer voorspelling goedkoper wordt

Ajay Agrawal, professor aan de Rotman School of Management van de University of Toronto en coauteur van Prediction Machines en Power and Prediction, zei tegen Invezz dat de impact van geavanceerde AI-agents moet worden gezien als een verschuiving in de economie van besluitvorming, niet louter als een goedkopere manier om analyses te produceren.

Die kadering is nuttig voor Mythos, ook al is de meest zichtbare capaciteit van het model cyber in plaats van beleggingsanalyse.

Als het ontdekken van kwetsbaarheden goedkoper wordt, krijgen securityteams meer bevindingen, meer triagewerk en meer beslissingen over wat het belangrijkst is.

De schaarse hulpbron is mogelijk niet langer het vermogen een fout te spotten, maar het vermogen te oordelen welke fout het belangrijkst is.

Met andere woorden: de bottleneck in de financiële sector zou kunnen verschuiven van detectie naar verantwoordelijkheid.

Het patch-probleem is de werkelijke drukpunt

Financiële instellingen besteden al veel aan cyberbeveiliging, maar de vraag is of hun operating model kan bijbenen in een wereld waarin AI-tools serieuze beveiligingsbevindingen veel sneller opleveren.

Een kwetsbaarheid vinden betekent niet dat het probleem is opgelost.

Eerst moeten teams controleren of de fout hun systemen treft. Engineers moeten het testen, risicoteams moeten de blootstelling beoordelen en businessleiders moeten inschatten of het verhelpen ervan kritieke diensten kan verstoren.

Vendors moeten mogelijk updates uitrollen en toezichthouders moeten mogelijk geïnformeerd worden. In sommige gevallen kan zelfs de patch nieuwe operationele risico's creëren.

Die workflow is traag omdat banktechnologie geen schoon laboratorium is. Het is een levend systeem dat online moet blijven.

De onthulling van Mythos suggereert een toekomst waarin de ontdekkingzijde van cyberbeveiliging sneller en goedkoper wordt, terwijl de remediëringszijde beperkt blijft door mensen, governance, legacy-architectuur en regulatorische verwachtingen.

Grote banken hebben mogelijk het geld en personeel om snel te reageren. Kleinere banken misschien niet.

Grote cloudproviders kunnen een probleem mogelijk snel oplossen, maar een kleine leverancier die een belangrijk backofficesysteem ondersteunt kan er veel langer over doen.

Dat betekent dat het zwakste punt zich mogelijk niet binnen de bank zelf bevindt. Het kan bij een externe leverancier liggen, terwijl de bank er toch de reputatieschade van ondervindt.

Waarom het IMF een risico voor financiële stabiliteit ziet

Het Internationaal Monetair Fonds heeft het debat al verder gebracht dan bedrijfs-cyberhygiëne.

Het waarschuwt dat door AI aangedreven cybertools risico's voor de financiële stabiliteit kunnen vergroten, vooral waar instellingen afhankelijk zijn van gemeenschappelijke software en gedeelde dienstverleners.

Financiële bedrijven zijn niet alleen via balansen verbonden. Ze zijn verbonden via besturingssystemen, cloudinfrastructuur, betalingssysteem, marktutilities, berichtennetwerken, datafeeds en softwareleveranciers.

Een enkel uitgebuite zwakte in een veelgebruikt component kan zich daarom minder gedragen als een lokaal technologisch defect en meer als een gemeenschappelijke schok.

Het gevaar is niet alleen dat één bank wordt gehackt. Het is dat veel instellingen op hetzelfde moment ontdekken dat ze dezelfde blootstelling delen.

In dat scenario kan cyberrisico verschuiven naar liquiditeitsrisico, marktrisico en vertrouwensrisico.

Er zijn nog steeds buffers: het IMF merkt op dat geavanceerde AI-cybercapaciteiten nog niet breed beschikbaar zijn en dat gesloten, industriespecifieke financiële software soms moeilijker te targeten is dan open-source infrastructuur.

Maar die bescherming kan verzwakken naarmate capaciteiten zich verspreiden, modellen verbeteren en aanvallers leren publieke informatie met geautomatiseerde tooling te combineren.

Toezichthouders verschuiven van bezorgdheid naar actie

De Europese Centrale Bank heeft snel gehandeld om operationele veerkracht weer centraal te stellen in het bancaire debat.

Frank Elderson, lid van de Executive Board van de ECB en vicevoorzitter van de Supervisory Board, waarschuwde dat frontier-AI-modellen het dreigingslandschap veranderen door drempels voor aanvallers te verlagen en de snelheid van exploitatie te verhogen.

De ECB zegt ook dat banken meerjarig moeten investeren in mensen, systemen en governance, in plaats van te vertrouwen op een smalle technologische oplossing.

Eldersons boodschap was helder:

Die nuance is belangrijk; toezichthouders lijken Mythos niet als een paniekevenement te zien, maar als bewijs dat lang bestaande cyberzwaktes mogelijk sneller moeten worden opgelost.

Banken hebben jaren besteed aan het opbouwen van veerkrachtraamwerken, het uitvoeren van cyberstresstests en het verbeteren van incidentrespons.

Maar de komst van modellen die zwaktes efficiënter kunnen vinden en exploiteren, verandert de tijdslijn.

De race tussen aanvaller en verdediger wordt asymmetrisch

Het ongemakkelijke deel van het Mythos-verhaal is dat dezelfde capaciteit beide zijden kan helpen.

Voor verdedigers is een model dat code kan inspecteren, kwetsbaarheden kan vinden en kan helpen bij het prioriteren van remediatie waardevol.

Het kan banken helpen oude systemen te scannen, code van derden te beoordelen, interne tools te testen en zwaktes te vinden voordat aanvallers dat doen. Het kan ook de afhankelijkheid van schaarse menselijke cyberexperts verminderen.

Maar cybersecurity is geen eendimensionale wedstrijd. Als vergelijkbare AI-capaciteiten zich buiten een handvol gecontroleerde labs verspreiden, kunnen aanvallers net zo snel profiteren als verdedigers.

In tegenstelling tot banken en securityteams hoeven aanvallers niet een heel systeem te beveiligen; zij hoeven slechts één zwakke toegangspoort te vinden.

Anthropic’s eigen beschrijving van Mythos onderstreept de betekenis van de capaciteit:

“Mythos Preview kan zero-day-kwetsbaarheden identificeren en vervolgens exploiteren in elk groot besturingssysteem en elke grote webbrowser.”

Dat betekent niet dat elke aanvaller toegang heeft tot Mythos, aangezien Anthropic het model als beperkt en gecontroleerd heeft gekaderd.

Maar de richting is duidelijk genoeg voor banken om hun plannen daarop af te stemmen.

Een nieuwe risicopremie voor oude technologie

Mythos maakt de financiële sector niet van de ene op de andere dag onveilig; deze sector blijft een van de meest gereguleerde en cyberbewuste delen van de wereldeconomie.

Banken hebben veel geïnvesteerd in beveiliging en velen gebruiken al AI om fraude te detecteren, bedreigingen te monitoren en klanten te beschermen.

Toch is het model een waarschuwing over snelheid.

De financiële sector is digitaler, meer uitbesteed en meer onderling verbonden geworden, en hoewel dat het systeem efficiënter heeft gemaakt, heeft het ook gedeelde faalpunten gecreëerd.

Als AI de tijd compressieert die nodig is om zwaktes te vinden en te exploiteren, worden oude patchcycli, trage leveranciersprocessen en gefragmenteerde aansprakelijkheid gevaarlijker.

De winnaars zullen niet louter de bedrijven met toegang tot het beste model zijn. Het zullen degenen zijn die snellere ontdekking kunnen omzetten in snellere, veiligere beslissingen.

Voor Wall Street en het bredere financiële stelsel is Mythos daarom niet alleen een cyberverhaal. Het is een verhaal over hoe operationele veerkracht financiële veerkracht wordt.

In een markt die op vertrouwen is gebouwd, kan het vermogen om draaiende te blijven onder digitale druk net zo belangrijk worden als het vermogen verliezen op een balans te absorberen.