Een hoge kantoortoren van BMO tegen een strakblauwe lucht, een van de gewaarschuwde Canadese grootbanken
Nieuws13 juli · 22:104 min leestijd

Canadese toezichthouder noemt Claude Mythos als cyberrisico voor banken

Voor het eerst wijst een financiële toezichthouder een specifiek AI-model met naam aan als cyberrisico. De Canadese OSFI waarschuwde de grootste banken voor Anthropics Claude Mythos. Wat betekent dat voor het Europese toezicht?

De Canadese bankentoezichthouder OSFI waarschuwde de grootste banken van het land per e-mail voor Anthropics AI-model Claude Mythos, meldt Reuters. Het is de eerste keer dat een financiële toezichthouder een specifiek, commercieel AI-model bij naam aanwijst als cyberrisico voor de sector die hij bewaakt.

Dat een toezichthouder een model bij naam als bedreiging benoemt, verandert iets aan de manier waarop cyberrisico straks wordt beoordeeld. In Nederland houdt De Nederlandsche Bank sinds 17 januari 2025 onder de Europese DORA-verordening toezicht op de digitale weerbaarheid van banken, verzekeraars en betaaldienstverleners. Brengt een AI-model de tijd om een lek te dichten terug van weken naar uren, dan raakt dat rechtstreeks de risicokaders die die instellingen moeten aantonen, en de eisen die zij vervolgens aan hun IT-leveranciers doorgeven.

De e-mail: de tijd voor risicobeperking krimpt

OSFI, voluit het Office of the Superintendent of Financial Institutions, stuurde de waarschuwing eind april naar de chief technology officers, chief information security officers en chief risk officers van onder meer Royal Bank of Canada, TD, BMO, Scotiabank, CIBC en National Bank. Volgens de e-mail die Reuters inzag, verkorten geavanceerde AI-modellen zoals Anthropic Claude Mythos de tijd voor effectieve risicobeperking sterk. De toezichthouder omschreef Mythos als uitzonderlijk goed in het vinden en uitbuiten van kwetsbaarheden.

OSFI liet het niet bij een waarschuwing. De banken kregen ook een set sound practices mee: concrete stappen om kwetsbaarheden sneller te herkennen, te beperken en erop te reageren. Canada zelf kreeg beperkte, defensieve toegang tot het model via zijn inlichtingendienst CSE, binnen het besloten Project Glasswing van Anthropic.

Mythos is een AI-model dat softwarelekken sneller vindt en ook uitbuit dan menselijke securityteams, en dat Anthropic bewust achter slot houdt. In de Verenigde Staten laat de cyberdienst CISA er sinds deze maand operationeel overheidscode mee doorlichten. Bij de banken zelf landt de boodschap: Royal Bank of Canada bouwt volgens technologiechef Bruce Ross “zijn eigen AI-verdediging”.

Het hoofdkantoor van de Bank of Canada in Ottawa. De federale bankentoezichthouder OSFI verstuurde de waarschuwing aan de grootbanken. Bron: Wladyslaw / Wikimedia Commons (CC BY-SA 3.0)
Het hoofdkantoor van de Bank of Canada in Ottawa. De federale bankentoezichthouder OSFI verstuurde de waarschuwing aan de grootbanken. Bron: Wladyslaw / Wikimedia Commons (CC BY-SA 3.0)

Wat een genoemd model betekent voor het toezicht

De kern van het precedent is niet dat Mythos gevaarlijk is, dat was al bekend. Het is dat een toezichthouder een specifiek AI-model in een officiële risicowaarschuwing bij naam noemt. Daarmee verschuift de vraag van “is jullie software gepatcht” naar “houden jullie rekening met een aanvaller die een model als dit inzet”.

Voor de Europese en Nederlandse toezichthouders, DNB, de AFM, de ECB en de EBA, ligt dezelfde beweging voor de hand. DORA verplicht financiële instellingen al tot een volledig kader voor ICT-risico, tot en met het testen van hun weerbaarheid. Een model dat de reactietijd tot uren terugbrengt, verandert de meetlat waarlangs dat kader wordt beoordeeld. De classificatie van AI-aanvalscapaciteit is dan geen theoretische exercitie meer, maar iets wat een toezichthouder concreet in zijn richtsnoeren kan opnemen.

De verschuiving raakt uiteindelijk verder dan de grootbanken. Toezichteisen rollen via de keten naar beneden: een bank die haar cyberweerbaarheid moet aantonen, legt die eis door aan de softwareleveranciers en dienstverleners die haar systemen bouwen. Wie code of koppelingen levert aan een financiële instelling, krijgt de vraag “kun je aantonen dat je in controle bent” straks net zo goed op zijn bureau. De e-mail uit Ottawa is daarmee minder een Canadees incident dan een voorproefje van hoe toezichthouders AI-aanvalscapaciteit gaan classificeren.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Cyberweerbaarheid die je kunt aantonen

Als jouw software of koppelingen bij een bank of financiële klant landen, krijg je dezelfde keten-eisen op je bord. Ik denk mee, ontwerp en bouw je systemen zo dat je aantoonbaar in controle bent over je data en afhankelijkheden, van architectuur tot automatisering, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'
Inzicht
6 min

13 jul 13:01

AI vindt je lekken sneller dan jij: niet 'ben je gepatcht' maar 'wie scant je keten het eerst'

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.

Toezichthouders bewapenen zich met eigen AI om hackers en cryptomarkten bij te benen
Nieuws
5 min

27 jun 10:24

Toezichthouders bewapenen zich met eigen AI om hackers en cryptomarkten bij te benen

Terwijl AI hackers sneller maakt, bouwen financiële toezichthouders nu hun eigen AI. FINMA hield een hackathon voor cryptotoezicht, en ook DNB en AFM kijken hoe AI hun werk verandert. Wat betekent dat voor jouw bedrijf?

Mythos-toegang blijft voor enkele testers, ENISA staat buiten
Nieuws
5 min

19 jun 08:14

Mythos-toegang blijft voor enkele testers, ENISA staat buiten

Anthropic schakelde Mythos en Fable 5 wereldwijd uit na een Amerikaans exportbevel, maar een kleine groep vroege testers zoals Dragos en Cisco houdt toegang. Europese instanties als ENISA vallen juist buiten de boot.

Vijf toezichthouders dringen samen aan op digitale autonomie
Nieuws
3 min

10 jul 12:25

Vijf toezichthouders dringen samen aan op digitale autonomie

Voor het eerst roepen alle vijf toezichthouders, ACM, AFM, AP, DNB en RDI, bedrijven en overheid samen op om digitale autonomie te versnellen en bij IT-inkoop overstapbaarheid af te dwingen. Wat verandert er voor jou?

OpenAI brengt GPT-5.6 Sol breed uit en claimt 54 procent minder tokens op agentic coding
Nieuws
3 minBijgewerkt om 20:15

9 jul 18:24

OpenAI brengt GPT-5.6 Sol breed uit en claimt 54 procent minder tokens op agentic coding

OpenAI heeft topmodel GPT-5.6 Sol breed uitgebracht via ChatGPT, de API en Codex. Sam Altman noemt het 54 procent zuiniger op agentic coding-taken, maar onafhankelijke tests laten zien waarom je dat cijfer beter zelf controleert.