Project Glasswing: AI vindt 10.000 kritieke gaten in software die jij dagelijks gebruikt

In één maand tijd identificeerde een AI-systeem meer dan 10.000 ernstige kwetsbaarheden in open source-software die de basis vormt van vrijwel alles wat jij digitaal doet: bankieren, berichten sturen, je thermostaat bedienen. Van die ruim 10.000 gevonden gebreken bleken 1.094 daadwerkelijk exploiteerbaar door kwaadwillenden. Dat is het resultaat van Project Glasswing, gelanceerd door Anthropic in april 2026, en het is vandaag voor het eerst publiek gemaakt.

Wat is Project Glasswing precies?

Project Glasswing is een groot samenwerkingsinitiatief onder leiding van Anthropic, waarbij twaalf grote organisaties uit tech, cybersecurity en digitale infrastructuur de handen ineenslaan. Founding partners zijn onder andere Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, de Linux Foundation, Microsoft, NVIDIA en Palo Alto Networks. In korte tijd sloten zich bovendien zo'n vijftig bedrijven aan voor tests.

Het centrale idee is simpel maar ambitieus: gebruik een geavanceerd AI-model, in dit geval Claude Mythos Preview, om de broncode van open source-projecten automatisch te doorzoeken op beveiligingslekken. Niet alleen detecteren, maar ook aantonen of een gevonden lek werkelijk misbruikt kan worden door het te ketenen tot een functioneel exploit.

Het resultaat na de eerste maand: het model analyseerde code van meer dan 1.000 open source-projecten, vond 23.000 defecten, waarvan 6.202 als bijzonder gevaarlijk werden beoordeeld. Na handmatige validatie bleken 1.726 hiervan echte fouten. Van die 1.726 kregen 1.094 het stempel high of critical, wat betekent dat een aanvaller ze daadwerkelijk zou kunnen gebruiken om systemen binnen te dringen of te ondermijnen. De detectiesnelheid ligt meer dan tien keer hoger dan bij traditionele methoden.

Waarom raakt dit jou, ook als je niks met code hebt?

Open source-software is de onzichtbare fundering onder digitaal Nederland. Je bankieren-app van ING of Rabobank, de versleutelde verbinding waarmee je WhatsApp of Signal gebruikt, de firmware in je slimme thermostaat of router: al deze producten bouwen op open source-bibliotheken die door vrijwilligers en bedrijven samen worden onderhouden. Als daar een lek in zit, zit dat lek dus ook in de diensten die jij dagelijks gebruikt.

Concrete resultaten geven aan hoe structureel het probleem is. Bij Cloudflare werden 2.000 fouten gedetecteerd, waarvan 400 met hoge of kritieke ernst. In de code van Mozilla's Firefox werden 271 kwetsbaarheden gevonden, een resultaat dat tien keer beter lag dan alle voorgaande analyses samen. Microsoft bereidde grotere patch-pakketten voor nadat het model problemen aanwees die traditionele beveiligingsaudits volledig hadden gemist.

WolfSSL en CVE-2026-5194: het meest zorgwekkende voorbeeld

Een van de gevonden kwetsbaarheden verdient extra aandacht: CVE-2026-5194 in de bibliotheek WolfSSL, met een CVSS-score van 9,1 op een schaal van 10. Voor context: een score boven de 9 betekent kritiek.

WolfSSL is een compacte, lichtgewicht implementatie van het SSL/TLS-protocol, het systeem dat de slotjesverbinding in je browser en in vrijwel alle versleutelde communicatie verzorgt. Juist omdat WolfSSL zo lichtgewicht is, zit het ingebouwd in miljoenen IoT-apparaten: slimme thermostaten, IP-camera's, routers, industriële systemen en netwerkapparatuur wereldwijd.

Het lek maakt het mogelijk om certificaten te vervalsen en je voor te doen als een legitieme dienst. Concreet: een aanvaller zou versleutelde communicatie in hele ecosystemen kunnen onderscheppen of manipuleren, terwijl de gebruiker niets merkt. Het slotje in je browser staat gewoon aan, maar de verbinding is niet meer te vertrouwen.

De tweesnijdende kant: verdediger én aanvaller

Hier ligt de grote spanning van Project Glasswing. Hetzelfde AI-systeem dat nu in dienst staat van patches en veiligheid, zou in andere handen precies het tegenovergestelde kunnen bewerkstelligen.

Inlichtingengemeenschappen volgen de ontwikkeling met grote aandacht. Spaanse, Britse, Amerikaanse en Chinese inlichtingendiensten (respectievelijk CNI, GCHQ, NSA en MSS) bekijken de capaciteit van dit soort AI met een mix van fascinatie en onrust. De vrees is helder: een systeem dat chirurgisch kwetsbaarheden vindt én exploits genereert, is in handen van een vijandige inlichtingendienst een fabriek voor gerichte cyberaanvallen.

Het positieve scenario is dat open source-software nu grondiger wordt doorgelicht dan ooit in de geschiedenis van het internet. Het minder rooskleurige scenario: in de periode tussen vondst en patch zijn kwetsbaarheden bekend, en wie ze eerder vindt dan de verdedigers, wint.

Wat kun je er zelf mee?

Je kunt dit probleem niet zelf oplossen, dat is eerlijk. Maar je kunt wel de kans vergroten dat patches jou snel bereiken zodra ze beschikbaar zijn.

Zet automatische updates aan op alle apparaten: smartphone, laptop, router, slimme apparaten thuis. Hoe sneller updates worden geïnstalleerd, hoe kleiner het venster voor aanvallers. Bekijk oudere IoT-apparaten kritisch: een slimme thermostaat of IP-camera uit 2019 of eerder krijgt mogelijk geen updates meer van de fabrikant en blijft kwetsbaar ook nadat patches voor recentere apparaten zijn uitgerold. Vervang zulke apparaten of isoleer ze op een apart wifi-netwerk zodat een eventuele aanval niet automatisch doorrijkt naar je bankapp of andere gevoelige diensten.

Gebruik je bankieren-app? Die is in handen van partijen zoals ING, ABN AMRO of Rabobank, die actief deelnemen aan of aansluiten bij dit soort initiatieven. Houd ook bankieren-apps altijd up-to-date.

Raadpleeg bij vragen over jouw specifieke situatie een IT-beveiligingsadviseur.

Wat volgt?

De deelnemende bedrijven, waaronder JPMorganChase en Microsoft, zijn actief bezig grotere patch-pakketten voor te bereiden. Anthropic heeft de eerste publieke resultaten van Project Glasswing vandaag, 25 mei 2026, bekendgemaakt. De verwachting is dat in de komende maanden meer patches beschikbaar komen naarmate de validatie van de gevonden kwetsbaarheden vordert. Voor CVE-2026-5194 in WolfSSL is het zaak dat fabrikanten van IoT-apparatuur snel een firmware-update uitrollen: houd de website van je apparaatfabrikant in de gaten of schakel automatische firmware-updates in waar mogelijk.

Project Glasswing is een maand oud. De vraag is niet of er meer lekken worden gevonden, maar hoe snel verdedigers die kunnen dichten voordat anderen ze misbruiken.

Bronnen: Anthropic, Moncloa, Dobreprogramy

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.