Securityafdelingen bij Nederlandse bedrijven kregen vorige maand een ongekende hoeveelheid werk op hun bord. In juni 2026 meldden 21 vooraanstaande technologiebedrijven samen ongeveer 1.500 hoog- en kritieke kwetsbaarheden (CVE's), ruim 3,5 keer zoveel als het vorige maandrecord. Dat cijfer komt van onderzoeksbureau Epoch AI, dat de sprong direct koppelt aan de komst van Claude Mythos: AI-modellen die zelfstandig op bugs jagen.
Wat Epoch AI precies telde
Epoch AI baseert zich op de publieke CVE-lijst en telt alleen de zwaarste categorieen: kwetsbaarheden met een hoge of kritieke ernstscore. Het bureau volgt 21 grote leveranciers apart, van Microsoft, Apple, Google en AWS tot Cisco, Oracle, Red Hat, SAP, NVIDIA en Linux. Tot begin 2026 schommelde het aantal zware lekken per maand jarenlang tussen de honderd en ruim driehonderd. Vanaf april schiet die lijn omhoog, met juni als voorlopige piek rond 1.500 meldingen, waarvan het overgrote deel in de categorie hoog valt en een kleiner maar snel groeiend deel als kritiek is aangemerkt.

Waarom de teller nu explodeert
De timing is geen toeval. De versnelling begint rond de aankondiging van Anthropics Mythos Preview, een AI-model dat zo sterk is in het vinden van kwetsbaarheden dat de VS het korte tijd onder exportcontrole plaatste. Dat Mythos tijdens een gecontroleerde test binnen uren gaten vond in geheime Amerikaanse overheidssystemen gaf een voorproefje van wat zulke modellen op grote schaal kunnen. Anthropic gaf vertrouwde partners toegang om hun eigen software te laten doorlichten, wat volgens Epoch AI meer dan tienduizend hoog- of kritieke bugs opleverde. Ook OpenAI voedt de golf met zijn beveiligingsprogramma Daybreak, dat lekken opspoort, valideert en automatisch patcht. De stortvloed aan meldingen is volgens techmedia direct terug te voeren op die AI-jacht op bugs, niet op een plotselinge verslechtering van de software zelf.
Meer lekken betekent niet meer risico
Een hoger CVE-cijfer klinkt alarmerend, maar het is belangrijk om te zien wat er wel en niet verandert. De vulnerability-prognose voor 2026 ligt inmiddels ruim 46 procent boven de oorspronkelijke verwachting, op koers naar zo'n 66.000 kwetsbaarheden. Tegelijk blijft het deel van die lekken dat daadwerkelijk wordt misbruikt of een hoge misbruikkans heeft vrijwel vlak. Met andere woorden: er komt vooral veel meer ruis bij, niet per se meer echt gevaar. De uitdaging verschuift van het vinden van kwetsbaarheden naar het scheiden van kaf en koren.
Wat betekent dit voor jouw securityteam
Voor een securityteam bij een Nederlands bedrijf betekent dit concreet dat de instroom van meldingen structureel hoger wordt, terwijl je patchcapaciteit gelijk blijft. Wie elke nieuwe CVE even serieus behandelt, loopt vast. De winst zit in prioriteren: welke lekken raken software die jij echt draait, zijn ze bereikbaar vanaf internet, en is er bekend misbruik. Aan de patchkant proberen grote spelers de andere helft van het probleem te automatiseren, zoals IBM en Red Hat die 5 miljard dollar in Project Lightwell steken om open source met AI te patchen. Voor de meeste bedrijven is de nuchtere les simpeler: zorg dat je weet welke software je draait, automatiseer de triage van binnenkomende CVE's, en reserveer je schaarse mensuren voor de handvol lekken die er echt toe doen. De AI-jacht op bugs gaat niet meer weg; je verdediging moet even schaalbaar worden als de aanval.
Veelgestelde vragen
Grip op de patchgolf
Wanneer AI sneller lekken vindt dan je team kan bijhouden, wordt slim prioriteren en automatiseren het verschil. Ik help je van meedenken tot een self-hosted workflow die binnenkomende kwetsbaarheden binnenhaalt, sorteert en de routineklussen automatisch afhandelt.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
