ECB vreest AI-cyberaanvallen terwijl Europa nog op Mythos wacht

De Europese Centrale Bank werkt aan verdediging tegen een nieuwe generatie AI-cyberaanvallen, terwijl Europa het model achter die dreiging nog niet zelf kan testen. ECB-president Christine Lagarde zei vrijdag 8 mei dat Anthropic’s Mythos voorlopig alleen beschikbaar is voor een beperkte groep partijen in de Verenigde Staten. Daardoor staat Europa volgens haar op achterstand.

Dat is geen technisch detail aan de zijlijn. Wie zo’n model als eerste kan testen, leert ook eerder hoe nieuwe aanvalspaden eruitzien en waar de zwakke plekken zitten. Voor de ECB gaat het dus niet alleen om innovatie, maar om verdedigingsvermogen.

Volgens Reuters werkt de ECB al aan tegenmaatregelen voor het geval Mythos of vergelijkbare systemen in handen komen van kwaadwillende partijen. Lagarde zei daarbij dat een staatsactor voorlopig de meest waarschijnlijke gebruiker lijkt, juist omdat dit type model veel rekenkracht vraagt. ECB-toezichthouders bevragen banken inmiddels ook over hun paraatheid voor een nieuwe generatie AI-gedreven cyberaanvallen.

Daarmee schuift het onderwerp snel op van technologienieuws naar financieel toezicht. Zodra centrale banken en bankentoezichthouders hun instellingen hierover actief ondervragen, is het geen theoretisch risico meer, maar een dossier dat direct raakt aan operationele weerbaarheid.

Die onrust komt niet uit de lucht vallen. Anthropic maakte Mythos niet breed beschikbaar, maar beperkte het model tot defensieve partners binnen Project Glasswing en tot meer dan 40 organisaties die kritieke software bouwen of onderhouden. Volgens het bedrijf vond Mythos in korte tijd duizenden zero-daylekken, veel daarvan kritiek, in alle grote besturingssystemen en webbrowsers. Anthropic zegt ook dat het model vrijwel al deze kwetsbaarheden zelfstandig kon opsporen en voor veel ervan exploits kon ontwikkelen.

Juist daarin zit het spanningsveld. Dezelfde capaciteit die verdedigers helpt om zwakke plekken sneller te vinden, kan aanvallers ook helpen om die sneller uit te buiten. Anthropic noemt dat risico expliciet als reden om Mythos alleen aan een beperkte groep partners voor defensieve cybersecurity-doelen te geven.

Dat maakt de Europese positie ongemakkelijk. Reuters meldde op 21 april nog dat Anthropic toegang voor Europese en Britse banken voorbereidde en dat die uitrol dagen of weken kon duren. Maar op 8 mei zei Lagarde nog steeds dat de ECB, net als de rest van Europa, geen toegang heeft en daardoor in het nadeel is.

De Europese Commissie is inmiddels wel in gesprek met Anthropic. Reuters meldde op 17 april dat de Commissie met het bedrijf sprak over verschillende modellen, waaronder de cybermodellen die nog niet in de EU beschikbaar waren. Op 4 mei zei Eurocommissaris Valdis Dombrovskis bovendien dat de Commissie door Anthropic is gebrieft en nu bekijkt wat de gevolgen kunnen zijn voor EU-beleid en wetgeving.

De bredere relevantie zit in het systeemrisico. Het IMF waarschuwde op 7 mei dat extreme cyberincidenten, versterkt door geavanceerde AI, kunnen leiden tot financieringsstress, solvabiliteitsproblemen en bredere marktverstoring. Omdat banken, betalingsverkeer, cloudsystemen en andere digitale infrastructuur sterk met elkaar verweven zijn, kunnen zwakke plekken zich sneller tegelijk bij meerdere partijen voordoen.

Daarmee raakt de waarschuwing van Lagarde aan een gevoelige Europese zwakte. Digitale soevereiniteit klinkt groot, maar wordt pas echt getest wanneer de gevaarlijkste systemen elders al in omloop zijn en Europa vooral moet reageren. De volgende AI-race gaat daarom niet alleen over productiviteit of nieuwe toepassingen, maar ook over wie zich nog op tijd kan verdedigen wanneer de aanvalsmiddelen slimmer worden dan het toezicht.