Het Witte Huis heeft Gold Eagle aangekondigd, een nationaal AI-clearinghouse dat door AI gevonden softwarekwetsbaarheden bundelt, prioriteert en laat patchen voordat aanvallers ze misbruiken. Het ministerie van Financiën leidt het programma, dat op 14 juli van start ging.
Voor een Nederlandse ondernemer is niet de Amerikaanse vlag op dit initiatief het punt, maar wat het bevestigt: het opsporen van kwetsbaarheden met AI schuift van losse labexperimenten naar het beleid van een G7-overheid. Dezelfde techniek waarmee aanvallers op machinesnelheid gaten vinden, wordt nu institutioneel aan de verdedigende kant gezet. Dat verkort het venster waarin een bekend lek nog ongemerkt open kan staan, of je software nu bouwt, host of alleen maar draait.
Wat Gold Eagle doet
Gold Eagle werkt als coördinatiepunt. Het verzamelt kwetsbaarheidsmeldingen uit zowel de overheid als het bedrijfsleven, bepaalt welke het meest kritiek zijn en stemt het herstel op elkaar af, voordat kwaadwillenden een lek kunnen uitbuiten. De meldingen lopen binnen via VINTS, een platform dat het Witte Huis samen met het Software Engineering Institute van Carnegie Mellon University bouwde en dat rapporten van derden over door AI gevonden lekken ontvangt.

Aan tafel zitten onder meer het cyberagentschap CISA, het ministerie van Binnenlandse Veiligheid, Defensie, aanbieders van open-source software en beheerders van kritieke infrastructuur. Het speurwerk zelf gebeurt met gesloten frontier-modellen, waaronder Anthropics Mythos, meldt CyberScoop. Volgens Financiënminister Scott Bessent blijft zijn ministerie frontier-AI inzetten om tegenstanders voor te blijven.
Eén detail bepaalt de reikwijdte: het clearinghouse dwingt bedrijven niet om gevonden lekken ook echt te dichten. Het bundelt en prioriteert, de uitvoering blijft bij de partijen zelf. Het programma komt voort uit een presidentieel besluit van 2 juni over veilig gebruik van geavanceerde AI en ontvangt volgens de aankondiging al dreigingsinformatie.
AI vindt lekken sneller dan mensen ze dichten
Gold Eagle staat niet op zichzelf. Het bevestigt een beweging die de afgelopen weken hard ging. OpenAI breidde zijn beveiligingsplatform uit met een AI die kwetsbaarheden automatisch vindt, valideert en patcht, en IBM en Red Hat trokken samen 5 miljard dollar uit om open-sourcekwetsbaarheden met AI te dichten voordat aanvallers ze vinden. De rode draad: sinds modellen door code en afhankelijkheden heen kunnen redeneren, komen lekken op machinesnelheid boven water, aan beide kanten van de streep.
Wat een overheid daaraan toevoegt is coördinatie. Waar losse bedrijven hun eigen lekken patchen, brengt Gold Eagle het beeld over sectoren heen samen. Een lek in een veelgebruikte open-source-bibliotheek raakt immers duizenden organisaties tegelijk.
Wat het betekent buiten de VS
Voor Nederlandse organisaties telt vooral de richting, niet de vlag. Europa beweegt langs dezelfde lijn: de ECB verplicht banken om vóór 31 oktober een AI-cyberplan in te dienen tegen precies deze AI-gedreven dreiging. Zulke eisen schuiven via contracten en audits door naar iedereen die aan zulke instellingen levert.
De kern van de verschuiving is het tempo. Bekende kwetsbaarheden worden sneller gevonden, en zowel toezichthouders als overheden gaan ervan uit dat je meebeweegt. Een lek dat vorig jaar weken open kon staan, is nu binnen dagen bekend bij de aanvaller én de verdediger. Wie zijn software en zijn open-source-fundament niet actief bijhoudt, staat dan niet stil, maar loopt achterop.
Veelgestelde vragen
Grip op je softwareketen
Het lek zit meestal in verouderde code en open-source-onderdelen die niemand meer bijhoudt. Ik neem bestaande software over, houd ze actueel en automatiseer het bijwerken en bewaken, van meedenken en ontwerp tot realisatie, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
