Blog Klik niet op ‘Later’ bij die updatemelding

 

Blog:

Klik niet op "Later" bij die updatemelding. Echt waar.

 

 

Door  Insight Editor / 15 Jun 2026  / Onderwerpen: Artificial Intelligence (AI) , Cybersecurity

Belangrijkste punten:

  • Een AI-model (Claude Mythos) heeft zelfstandig duizenden voorheen verborgen kwetsbaarheden ontdekt in alle grote besturingssystemen en browsers, wat heeft geleid tot een gecoördineerde reeks patches in de hele sector
  • Dankzij de ontwikkeling van exploits met behulp van AI is de tijd tussen het uitbrengen van een patch en het verschijnen van een werkende exploit teruggebracht van dagen tot uren. De oude wekelijkse en maandelijkse patchcycli sluiten niet langer aan bij het huidige bedreigingslandschap
  • Het voorkomen dat eindgebruikers kritieke patches uitstellen is nu een vereiste, niet langer een doelstelling. Organisaties hebben behoefte aan een duidelijk en actueel overzicht van de systemen die zij gebruiken en welke systemen actief worden geïnformeerd over kwetsbaarheden
  • Beheerde endpoint- en patchdiensten worden steeds belangrijker om gelijke tred te houden met gecoördineerde patchgolven van verschillende leveranciers binnen strakke tijdschema’s



Een collega plaatste dit onlangs in een groepschat, en iedereen was het er roerend mee eens:

"Ik heb het gevoel dat mijn fulltime baan bestaat uit het installeren van updates."

Vervelend? Ja. Belemmerend voor het daadwerkelijk uitvoeren van het werk? Zonder twijfel. Noodzakelijk? 100%. Absoluut onmisbaar. En op dit moment urgenter dan ooit tevoren.

Hier is waarom.

Wat is Project Glasswing?

De reden waarom u op dit moment voortdurend updatemeldingen krijgt, is geen toeval. Het komt er niet op neer dat leveranciers eindelijk hun achterstand in het onderhoud wegwerken. Het is het directe gevolg van iets dat Project Glasswing heet.

Op 7 april, 2026, kondigde Anthropic aan dat het stilletjes zijn krachtigste AI-model geïmplementeerd, Claude Mythos Preview, niet publiekelijk, maar voor een een door hen geleide coalitie van bedrijven die de meest cruciale software-infrastructuur ter wereld beheren: Amazon, Apple, Cisco, CrowdStrike, Google, Microsoft, Palo Alto Networks en nog zo’n 40 andere bedrijven. De missie was puur defensief: Mythos gebruiken om kwetsbaarheden op te sporen voordat kwaadwillenden.

Wat men ontdekte, was verbijsterend.

In slechts enkele weken tijd heeft Mythos duizenden kritieke, voorheen onbekende kwetsbaarheden ontdekt in alle gangbare besturingssystemen en browsers, waaronder fouten die al jaren “soms zelfs decennia” verborgen waren. Een inmiddels verholpen 27-year-oude bug in OpenBSD, hoewel het lange tijd werd beschouwd als een van de best beveiligde besturingssystemen, kon een aanvaller op afstand elke computer waarop het draaide laten crashen door simpelweg verbinding te maken. Een 16 jaar oude kwetsbaarheid in FFmpeg, de videocoderingbibliotheek die aan vrijwel elk groot videoplatform ten grondslag ligt, is jarenlang intensief beveiligingsonderzoek doorstaan zonder ontdekt te worden (en is inmiddels verholpen). Het red team van Anthropic heeft dit zelf gedocumenteerd: deze bugs waren geen onopvallende vergissingen in marginale coderegels. Ze zaten in software die u dagelijks gebruikt.

Leveranciers krijgen nu informatie volgens een strak gereguleerd schema en haasten zich om patches uit te brengen. Die golf aan updatemeldingen? Dat is het. Dat is de reactie.

Waarom vertragingen bij het aanbrengen van patches op dit moment een verhoogd risico vormen

Er is altijd al een tijdsverschil geweest tussen het moment waarop een kwetsbaarheid bekend wordt gemaakt en het moment waarop een aanvaller deze kan misbruiken. Die periode wordt steeds korter.

Mythos heeft zelf laten zien hoe snel de ontwikkeling van exploits kan gaan als AI het werk doet. Hetzelfde model dat zelfstandig een 27 jaar oude bug in OpenBSD ontdekte, schreef ook 181 werkende Firefox exploits in één enkele testrun, tegenover twee bij de vorige generatie AI-modellen. Beveiligingsmedewerkers die gewend zijn om de reactietijd in dagen of weken te meten, bevinden zich nu in een heel andere situatie. Zodra een patch openbaar is gemaakt, begint de klok te tikken, en de mensen aan de andere kant wachten niet op het volgende onderhoudsvenster van uw IT-team.

Het klinkt misschien wat alarmerend. Maar in dit geval is paniek niet de juiste reactie.

“Ik denk niet dat Mythos een moment is om in paniek te raken, maar eerder een wake-upcall,” zegt Will Pocknell, Senior Manager IT, Security & Compliance bij Insight. “IT-, ontwikkel- en beveiligingsteams zien al een tijdje in dat de leveringssnelheid van patches, updates en fixes moet worden opgevoerd, maar we bevinden ons nu in een wereld waarin dat een ‘must’ is in plaats van een streefdoel.”

Patchbeheer stond lange tijd alleen op de lijst met ambities. Kortere implementatiecycli, krappere tijdschema’s tussen release en implementatie, en het onmogelijk maken voor eindgebruikers om kritieke updates uit te stellen: dit waren de doelstellingen op de routekaart, geen verplichtingen op de agenda.

Die conversatie is over.

Hoe de kloof bij de implementatie van patches te dichten

De moeilijkere vraag is hoe we dat gevoel van urgentie op grote schaal in de praktijk kunnen brengen, vooral nu het woord “later” diep is ingebakken in het spiergeheugen van iedereen die ooit op dat kleine kruisje bij een updatemelding heeft geklikt.

Een paar dingen die de moeite waard zijn om nu te doen:

Weet waarvoor u patches installeert. Uw grootste risico’s liggen in de kritieke infrastructuur en kernsoftware: browsers, eindpunten, besturingssystemen en alles wat met het internet in verbinding staat. Als u geen duidelijk en actueel beeld hebt van wat er bij u draait en welke systemen het doelwit zijn van actieve kwetsbaarheidsmeldingen, dan is dat de eerste lacune die u moet dichten.

Verkort de implementatiecyclus. De tijd tussen “patch beschikbaar” en “patch geïmplementeerd” is de periode waarin u kwetsbaar bent. Het oude ritme van wekelijkse of maandelijkse updates past niet langer bij het huidige dreigingslandschap. Dit is de maatstaf die ertoe doet, en die het meest ingrijpend is veranderd door de opkomst van AI-gestuurde exploitontwikkeling.

Sta geen uitstel meer toe voor cruciale patches. De optie „herinner me er morgen aan” moet worden geschrapt voor updates met een hoge ernstgraad. Het scheppen van duidelijke verwachtingen bij eindgebruikers is net zo belangrijk als de technische implementatie: mensen verzetten zich minder als ze begrijpen waarom het beleid is gewijzigd.

Denk goed na over wat u zelf beheert en wat u uitbesteedt. Het is niet voor niets dat er momenteel steeds meer aandacht is voor managed endpoint services. Het bijhouden van een gecoördineerde reeks patches van verschillende leveranciers binnen de hele organisatie, waarbij de tijd tussen het uitbrengen van patches en het misbruik ervan steeds korter wordt, is geen bijkomstige taak. Het is een primaire taak.

Mijn collega had gelijk. De updates volgen elkaar momenteel in razend tempo op, en dat zal waarschijnlijk nog wel even zo blijven. We zitten midden in een reeks updates die qua omvang en snelheid zijn weerga niet kent in de sector.

Wat Mythos aan het licht heeft gebracht, is niet zomaar een lijst met bugs. Het is iets veel verontrustender: de kwetsbaarheden zijn er altijd al geweest. Ze zaten verborgen in software die we al jaren vertrouwen, onzichtbaar voor tools die er miljoenen keren naar hebben gekeken. Het verschil is nu dat we ervan op de hoogte zijn en dat we een manier hebben om ze te verhelpen.

Vraag om hulp. Insight biedt u extra hulp wanneer u die nodig hebt.