Kleurrijke software- en webcode op een computermonitor
Nieuws4 juli · 04:395 min leestijd

AI-jacht op bugs bezorgt securityteams een patchgolf: 1.500 zware CVE's in juni

Onderzoeksbureau Epoch AI telde in juni 2026 zo'n 1.500 hoog- en kritieke kwetsbaarheden van 21 grote organisaties, ruim 3,5 keer het oude maandrecord. AI vindt bugs nu op schaal, en dat verandert hoe securityteams hun patchcapaciteit moeten inrichten.

Securityafdelingen bij Nederlandse bedrijven kregen vorige maand een ongekende hoeveelheid werk op hun bord. In juni 2026 meldden 21 vooraanstaande technologiebedrijven samen ongeveer 1.500 hoog- en kritieke kwetsbaarheden (CVE's), ruim 3,5 keer zoveel als het vorige maandrecord. Dat cijfer komt van onderzoeksbureau Epoch AI, dat de sprong direct koppelt aan de komst van Claude Mythos: AI-modellen die zelfstandig op bugs jagen.

Wat Epoch AI precies telde

Epoch AI baseert zich op de publieke CVE-lijst en telt alleen de zwaarste categorieen: kwetsbaarheden met een hoge of kritieke ernstscore. Het bureau volgt 21 grote leveranciers apart, van Microsoft, Apple, Google en AWS tot Cisco, Oracle, Red Hat, SAP, NVIDIA en Linux. Tot begin 2026 schommelde het aantal zware lekken per maand jarenlang tussen de honderd en ruim driehonderd. Vanaf april schiet die lijn omhoog, met juni als voorlopige piek rond 1.500 meldingen, waarvan het overgrote deel in de categorie hoog valt en een kleiner maar snel groeiend deel als kritiek is aangemerkt.

Grafiek van Epoch AI: hoog- en kritieke CVE's van 21 grote organisaties schieten na jaren van stabiliteit omhoog vanaf de aankondiging van Claude Mythos Preview, met juni 2026 als piek. (Bron: Epoch AI, CC BY)
Grafiek van Epoch AI: hoog- en kritieke CVE's van 21 grote organisaties schieten na jaren van stabiliteit omhoog vanaf de aankondiging van Claude Mythos Preview, met juni 2026 als piek. (Bron: Epoch AI, CC BY)

Waarom de teller nu explodeert

De timing is geen toeval. De versnelling begint rond de aankondiging van Anthropics Mythos Preview, een AI-model dat zo sterk is in het vinden van kwetsbaarheden dat de VS het korte tijd onder exportcontrole plaatste. Dat Mythos tijdens een gecontroleerde test binnen uren gaten vond in geheime Amerikaanse overheidssystemen gaf een voorproefje van wat zulke modellen op grote schaal kunnen. Anthropic gaf vertrouwde partners toegang om hun eigen software te laten doorlichten, wat volgens Epoch AI meer dan tienduizend hoog- of kritieke bugs opleverde. Ook OpenAI voedt de golf met zijn beveiligingsprogramma Daybreak, dat lekken opspoort, valideert en automatisch patcht. De stortvloed aan meldingen is volgens techmedia direct terug te voeren op die AI-jacht op bugs, niet op een plotselinge verslechtering van de software zelf.

Meer lekken betekent niet meer risico

Een hoger CVE-cijfer klinkt alarmerend, maar het is belangrijk om te zien wat er wel en niet verandert. De vulnerability-prognose voor 2026 ligt inmiddels ruim 46 procent boven de oorspronkelijke verwachting, op koers naar zo'n 66.000 kwetsbaarheden. Tegelijk blijft het deel van die lekken dat daadwerkelijk wordt misbruikt of een hoge misbruikkans heeft vrijwel vlak. Met andere woorden: er komt vooral veel meer ruis bij, niet per se meer echt gevaar. De uitdaging verschuift van het vinden van kwetsbaarheden naar het scheiden van kaf en koren.

Wat betekent dit voor jouw securityteam

Voor een securityteam bij een Nederlands bedrijf betekent dit concreet dat de instroom van meldingen structureel hoger wordt, terwijl je patchcapaciteit gelijk blijft. Wie elke nieuwe CVE even serieus behandelt, loopt vast. De winst zit in prioriteren: welke lekken raken software die jij echt draait, zijn ze bereikbaar vanaf internet, en is er bekend misbruik. Aan de patchkant proberen grote spelers de andere helft van het probleem te automatiseren, zoals IBM en Red Hat die 5 miljard dollar in Project Lightwell steken om open source met AI te patchen. Voor de meeste bedrijven is de nuchtere les simpeler: zorg dat je weet welke software je draait, automatiseer de triage van binnenkomende CVE's, en reserveer je schaarse mensuren voor de handvol lekken die er echt toe doen. De AI-jacht op bugs gaat niet meer weg; je verdediging moet even schaalbaar worden als de aanval.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op de patchgolf

Wanneer AI sneller lekken vindt dan je team kan bijhouden, wordt slim prioriteren en automatiseren het verschil. Ik help je van meedenken tot een self-hosted workflow die binnenkomende kwetsbaarheden binnenhaalt, sorteert en de routineklussen automatisch afhandelt.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Linux Foundation lanceert Akrites: brede coalitie verdedigt open source tegen AI-aanvallen
Nieuws
5 min

26 jun 01:17

Linux Foundation lanceert Akrites: brede coalitie verdedigt open source tegen AI-aanvallen

De Linux Foundation lanceert met negentien grote bedrijven Akrites, een coalitie die kritieke open source verdedigt nu AI-modellen kwetsbaarheden binnen minuten vinden. Wie op open source draait, krijgt er bescherming bij.

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht
Nieuws
5 min

22 jun 20:11

OpenAI breidt Daybreak uit: AI die kwetsbaarheden vindt, valideert en patcht

OpenAI rolt nieuwe Daybreak-tools uit: Codex Security en GPT-5.5-Cyber scannen code op lekken en schrijven direct patches. Plus een open-source-initiatief en een partnerprogramma met grote securitybedrijven.

OpenAI en Anthropic overbieden elkaar met gratis rekenkracht voor startups
Nieuws
3 min

7 jul 14:23

OpenAI en Anthropic overbieden elkaar met gratis rekenkracht voor startups

OpenAI en Anthropic overbieden elkaar met miljoenen aan gratis rekenkracht om AI-startups binnen te halen. Aantrekkelijk op korte termijn, maar de credits vergroten je afhankelijkheid van één modelleverancier. Wat dat betekent voor een Nederlandse AI-startup.

Anthropic verkent eigen AI-chip en klopt bij Samsung aan voor productie
Nieuws
5 min

2 jul 20:26

Anthropic verkent eigen AI-chip en klopt bij Samsung aan voor productie

Claude-maker Anthropic zet volgens The Information eerste stappen naar een eigen AI-chip en sprak met Samsung als mogelijke producent. Bevestigd is er niets, maar de zet raakt de compute-kosten en het leveranciersrisico achter Claude.

IBM en Red Hat steken 5 miljard dollar in Project Lightwell om open source met AI te patchen
Nieuws
6 min

2 jul 20:11

IBM en Red Hat steken 5 miljard dollar in Project Lightwell om open source met AI te patchen

IBM en Red Hat trekken samen 5 miljard dollar uit voor Project Lightwell, een dienst die open-source-kwetsbaarheden patcht nu AI ze sneller vindt dan onderhouders ze kunnen dichten. Wat dat betekent voor jouw software.

Micron: het geheugentekort komt maar deels door AI
Nieuws
5 min

1 jul 12:18

Micron: het geheugentekort komt maar deels door AI

Micron-topman Mehrotra wijt het wereldwijde geheugentekort niet alleen aan de AI-boom, maar ook aan jarenlange prijsdruk en onderinvestering. Die duiding verandert het inkoopmoment voor elke ondernemer die hardware koopt.