Mythos-alarm: waarom Powell en Bessent zelf de bankbazen aan tafel riepen

Binnen dagen na de lancering van Anthropics Mythos-model zaten de twee machtigste financiële autoriteiten van de Verenigde Staten persoonlijk aan tafel met de CEO's van de vijf grootste systemisch relevante banken ter wereld. Niet een werkgroep, niet een assistent-secretaris: Treasury Secretary Scott Bessent en Fed Chair Jerome Powell leidden het overleg zelf. Dat feit verdient meer aandacht dan het overleg zelf.

Een overleg zonder precedent

Op dinsdag 8 april 2026 belegden Bessent en Powell een spoedoverleg met de topbestuurders van Citigroup, Morgan Stanley, Bank of America, Wells Fargo en Goldman Sachs, zo meldt Bloomberg op basis van anonieme bronnen. De aanleiding: de cybersecurityrisico's verbonden aan Anthropics AI-model Mythos, dat eerder deze maand werd gelanceerd als onderdeel van wat intern bekend staat als Project Glasswing.

Een dergelijk overleg heeft geen precedent. Spoedvergaderingen van de Fed met bankbazen bestaan, maar die gaan doorgaans over liquiditeitscrises, marktdysfuncties of geopolitieke schokken. Een gezamenlijk optreden van Treasury én Fed, specifiek voor één AI-model, is nieuw terrein.

De vijf aanwezige banken zijn geen willekeurige keuze. Het zijn allemaal globally systemically important banks (G-SIBs), aangewezen door de Financial Stability Board. Dat betekent dat verstoringen van hun operaties niet alleen nationaal, maar wereldwijd doorwerken. De deelnemerslijst vertelt daarmee een stille boodschap: de autoriteiten beschouwen juist deze instellingen als de meest kwetsbare schakel.

Wat Mythos kan en waarom dat angst aanjaagt

Voor lezers die de technische achtergrond willen begrijpen, schreef Lucas van der Berg op 7 april een uitgebreide analyse van Project Glasswing en het Mythos-model op deze site. De kern: Mythos is getraind op cybersecurity- en software-engineeringtaken en kan razendsnel kwetsbaarheden in softwaresystemen identificeren, inclusief zogeheten zero-day vulnerabilities, fouten die nog niet publiek bekend zijn en waarvoor dus nog geen patches bestaan.

Wat het model onderscheidt, is niet alleen de snelheid waarmee het kwetsbaarheden vindt, maar ook het vermogen om geavanceerde exploits te assembleren, werkende aanvalscode te bouwen op basis van de gevonden zwakke plekken. Anthropic heeft het model om die reden niet publiek uitgebracht.

Voor het bankwezen is dit een bijzonder verontrustend profiel. De IT-infrastructuur van grote financiële instellingen is complex, historisch gegroeid en bevolkt met legacy-systemen die decennia oud zijn. Zero-day kwetsbaarheden in dergelijke omgevingen zijn zeldzaam maar catastrofaal als ze worden benut. Een model dat ze systematisch en snel kan identificeren, verlaagt de drempel voor aanvallers die toegang tot dat model weten te krijgen, of er een variant van bouwen.

Toezichthouders herkaderen AI-risico daarmee fundamenteel: niet langer primair een kwestie van algoritmische bias of datafraude, maar een potentiële katalysator voor een systeemgebeurtenis, een scenario waarbij één aanval of een keten van aanvallen het financiële systeem destabiliseert.

De paradigmaverschuiving in het toezicht

De snelheid van de reactie is veelzeggend. Tussen de lancering van Mythos en het spoedoverleg zaten slechts dagen. In regulatoire termen is dat bliksemtempo. De normale cyclus van beleidsreactie, observeren, consultatierondes, werkgroepen, regelgeving, duurt jaren.

Dat Powell en Bessent dit niet delegeerden aan de Office of the Comptroller of the Currency, de FDIC of een technische werkgroep van de Financial Stability Oversight Council (FSOC), zegt iets over hoe zij het risico intern inschatten. Delegatie impliceert dat een probleem beheersbaar is binnen de bestaande structuren. Persoonlijke aanwezigheid op het hoogste niveau signaleert het tegendeel: dit valt buiten de bestaande kaders.

Er speelt daarbij ook een autoriteitslogica. Als de Treasury Secretary en de Fed Chair zelf komen, communiceren ze aan de bankbazen dat dit een prioriteit is van het hoogste beleidsechelon, niet iets om door te schuiven naar de CISO of de IT-afdeling. Het overleg is ook een signaal naar de banken: zorg dat dit op raadsniveau wordt behandeld.

De blinde vlek: crypto en DeFi

De zorgen over Mythos beperken zich niet tot traditionele banken. Toezichthouders hebben ook specifiek de crypto- en DeFi-sector benoemd als kwetsbaar voor het type aanvallen dat Mythos mogelijk maakt. Dat is niet verwonderlijk: smart contracts op blockchains zijn publiek leesbare code, en kwetsbaarheden daarin zijn historisch al meerdere keren met verwoestende gevolgen benut. Een AI-model dat zero-days systematisch kan identificeren, is voor die sector een asymmetrische dreiging.

Het ironische is dat de DeFi-sector nauwelijks vertegenwoordigd was aan de vergadertafel: de vijf uitgenodigde instellingen zijn alle traditionele banken. Dat weerspiegelt waar het toezichtkader staat, gericht op de instellingen die formeel gereguleerd zijn, maar het laat de snelst groeiende en technisch meest kwetsbare hoek van het financiële systeem buiten beeld.

Wat dit betekent voor de regulering van AI-risico

Het overleg markeert een breuk met hoe AI tot dusver werd behandeld in financieel beleid. De afgelopen jaren domineerden twee frames: AI als innovatie-enabler, en AI als risico voor consumentenbescherming en eerlijkheid (denk aan discriminerende kredietmodellen). Beide frames zijn reactief van aard en gericht op bekende schadepatronen.

Het Mythos-overleg introduceert een derde frame: AI als potentieel instrument voor financiële destabilisatie. Dat frame vraagt om een fundamenteel ander toezichtregime, één dat sneller beweegt dan de traditionele regelgevingscyclus, en dat rekening houdt met exponentiële capaciteitsgroei van modellen die nu al buiten de publieke release zijn gehouden.

Wat de concrete beleidsuitkomst van het overleg wordt, is op dit moment niet bekend. Er zijn geen publieke verklaringen uitgegaan van Treasury of de Fed. Maar de institutionele logica wijst in één richting: als de hoogste autoriteiten zelf aan tafel zitten, volgt er beleid.

Vooruitblik

Of en wanneer Treasury of de Fed een publieke verklaring afleggen over de uitkomsten van het overleg, is niet bevestigd. De FSOC, die formeel verantwoordelijk is voor het monitoren van systeemrisico's in het Amerikaanse financiële stelsel, zal naar verwachting een rol spelen in de vertaling van de besproken zorgen naar beleidskaders. Hoe snel dat gaat, is de cruciale vraag.

Bronnen: Bloomberg, Financial Stability Board

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.