Cyberhelden 70 - GenAI en Cybersecurity: hype, hoop en heilige huisjes

Loopt hij? Nee, ja ja ja. Hij loopt. Ik zie hem, ik kan het wel ergens zien. Oh ja daar kan ik het zien. Waar zie je dat? Ik heb bovenin. Rack, bakbordboven. Waarom? Ik kon toch ook ergens de tijd zien, de timestamps. Waarom zijn die nu in mijn appen? Die appen, dat zou ik af en toe. Ze updateen te veel. Ik flink ergens op boemen nu. Cyberhelden

Welkom bij alweer een nieuwe aflevering van Cyberhelden. De podcast waarin ik in gesprek ga met mensen die ze bezighouden met de digitale dreiging. Mijn naam is Ronald Prins. En vandaag zit ik weer aan het tafel met Marco Kuipers. Hey.

En Jelle van Haaster. Good morning. Vandaag gaan we het hebben over iets waar iedereen al lang een mening over heeft. En dat is de Gen-AI en Cybersecurity. En jullie als luisteraars weten dat we ook veel, en sommigen zeggen het te veel, toch wel over Gen-AI hebben. Maar wij geloven echt dat dit impact gaat hebben. En daarom blijven we er nog maar op handigen. Ontwikkelingen gaan hard. Maar ja, wat is echt? Wat is opgeblazen en wat moeten de verdedigers hier nu eigenlijk allemaal mee doen? Dat straks allemaal, maar nu eerst. Hoe gaat het met ons?

Ja, met mij gaat het goed. Mooi. Dank je wel. En Jelle. Maak maar af. Nee, nou wil ik niet meer. Oké. Jelle. Ja, we hebben ook iets heel interessants gedaan. Ik heb ook iets over de repetitiviteit van waar je geen generatieve AI voor kunt gebruiken, behalve bij de planning, is plinten. Dus dat je zelf denkt, ik ga zelf plinten maken. Dat bestaat uit plinten zagen, vrezen, schuren, grondverven, schuren, verven, schuren, verven.

Dus wat een kutklus is dat. Heb je dan leuke TikTok-filmpjes over hoe je handige hoekjes maakt en zo? Ja, soms wel. Dus nu mijn hele YouTube feed zit helemaal vol nu met het algoritme dat ik alleen maar geïnteresseerd ben in hoe je mooie hoekjes vreest en zo. Maar goed, dit repetitief wordt dan volgend jaar opgelost. Dit jaar is het jaar van de AI, volgend jaar het jaar van de robots. En dan kan je het gewoon laten doen tijdens het opnemen van de podcast. Marco, toch nog iets wat je nog kwijt wil?

Ik ben vooral nu aan het spelen met, om toch maar vast even een brug naar Jenny High te slaan, mijn zoontje voorzichtig toehang geven. Dus ik heb zo'n ding om hem guardrails toehang te geven tot delen van Claude. Ja, gaan we samen een beetje oefenen. Zit het gewoon in Claude dat je voorzichtig kan beginnen? Nee, ik heb open web UI geïnstalleerd. En daarin dan de API koppeling gemaakt. En dan kun je hem zo'n soort prompt meegeven van luister, je praat met een kind, praat in het Nederlands, doe even normaal zeg maar. En zo kun je hem wat regels meegeven. Misschien is dat voor ons ook wel handig. Maar dat gaan jullie dan allemaal merken straks in de rest van de podcast.

Aan mijn kant, wij nog spectaculair, kinderen wel de vakantie. Is er altijd wel een lastige periode, dan moet je er inderdaad echt nachts achter je computer zitten en overdag gezellig spelletjes doen. Gelukkig horen we dat ze braaien en paarden rijden. Oké jongens, we gaan naar de nieuwtjes. En dan beginnen we met nieuwtje twee. 7 april, publiceren de zes Amerikaanse overheidsinstanties gezamenlijk een waarschuwingen bericht. De Iraanse staatshackers zijn actief bezig met het aanvallen van industriële besturingssystemen van de Amerikaanse kritieke infrastructuur. Dus allemaal PLC's die daar rondhangen.

De programmable logic controllers, van die dingen die fysieke processen aansturen met software. Denk je bij aan pompen in drinkwaterzuiveringsinstallaties, schakelaars in elektriciteitskastjes of kleppen in energie distributiesystemen. Specifiek gaat het om een apparaat van de merk Rockwell Automation. En wat ze hebben gedaan is dat ze vanuit een soort andere plaats op het internet, ze hebben het natuurlijk niet vanuit Iran gedaan, maar als we vanuit een andere plek komen.

Hebben ze het publiek internet gescand op specifiek die apparaten. En hebben ze een bekende kwetsbaarheid gebruikt om daar op binnen te komen. Dus hoeft het er niks bijzonders uit te vinden of zo? Dat ligt gewoon allemaal klaar. Dat kan iedereen doen, scannen, standaard tooltjes. Ja precies. En wat ze volgens ook gedaan hebben is de standaard software van die apparatuur gebruikt om gewoon lekker met die dingen te verbinden. Dus ze hebben gewoon eigenlijk gedaan alsof ze een beheerder op afstand zijn, verbinding gemaakt. En volgens hebben ze dan wel ervoor gezorgd dat ze persistent toegang hadden, dat ze daarna naar de bijbij konden blijven komen.

En van daaruit zijn ze bezig gegaan met malware erop. Maar is er ook echt serieus wat stuk gegaan? Nou en dat heb ik geprobeerd uit te zoeken, want er zijn best wel wat apparaten die aan het internet hangen. Maar de slachtoffers zijn uit de rapporten weggelaten van Cisa. Dus het is erg lastig. Maar we hebben ook geen nieuwsberichten gezien dat er steden zonder water zaten of zo? Nee, nee. Dus we hebben nog niks groots daarin kunnen vinden. Dus dat is nog niet heel duidelijk. Hoe doen ze dit dan met internet? Want zij hebben op dit moment netboxen die rapporteerden dat ze dag zoveel zonder internet zitten.

Dag 100 of zo? Ja, ik vermoed heel eerlijk. Kijk, dit is geattribueerd aan Cyber Avengers, een hackgroep die onder de IRGC opereert. Ik kan me niet voorstellen dat de overheid niet een lijntje naar buiten heeft. Een Starlinks schoteltje. En dat maar ook... Die ze afgepakt hebben van die Nederlandse diplomaten. Verdomme onze schotel. Maar wat wel interessant is, dat census nog zit te scannen. Waar komen die apparaten vandaan? Of waar staan die apparaten? En blijkt dat er heel veel achter mobiele verbindingen zitten.

Wat een beetje implicerend dat het mogelijk van die decentrale stations zijn ergens door het land. Een benzine station of een lokale waterzuifingsinstallatie. Dat is een beetje op kleine schaal, maar dat is een beetje giswerk. Gewoon een heel simpel 4G-routetje of LTI dan altijd in de US. En geen firewall verder, gewoon kaalband internet. Ja, zoals het zou niet zou moeten. Zou het niet zou moeten, ja. Ja, verder de timing is opvallend, want het is allemaal een beetje begonnen in maart 2026.

Ongeveer direct na de militaire confrontatie tussen de VS en Iran. Ja, dus het is ook een beetje de vraag. CISA stelt dat dit mogelijk verbandhoudt met elkaar. Dus dat dit een soort retaliation is. No way! Dat is natuurlijk interessant, of offensive cyber capabilities in warfare. Maar goed. Het is wel een beetje open deur van CISA, dit toch? Ja. Het zou ook gerelateerd kunnen zijn. Pas binnen het timeframe, dus het zal wel toch? Ja, precies. Ik vind het toch een tegenval.

Ik had het Iran vrij hoog staan, maar dan heb ik al het DigiNOTO nog in mijn hoofd. Dat was trouwens ook maar één mannetje die dat deed. Maar het is gewoon een serieus land dat er veel geld in gestopt heeft om echt goed te kunnen hacken. En dan hebben ze oorlog. En dan is het een beetje gemartel rondom POC-systeempjes waar ze uiteindelijk niets mee klaar krijgen. Ja, dat is wat ik best tegenpast. Maar dat is natuurlijk wat we nu weten. Ik ben benieuwd wat er nog op de achtergrond speelt. Maar het hele idee van die fysieke aanvallen is dat iedereen het merkt. Dat zijn dingen die niet stil kunnen houden, dat er panieken naar land moeten ontstaan.

Ja, daar is nog weinig over gerapporteerd. Maar misschien komt er nog wat naar buiten. Maar goed, in Europa vallen ze niet aan? In ieder geval niet wat we weten. Want dat is natuurlijk wel, ook van die apparaten die ze gescand hebben, staan in Europa. Een aantal in Spanje, in Italië onder andere. En Headhut heeft de census-scan aangetoond. Maar als dat spul dus ook in Nederland staat van andere landen, dan moeten we dat eens gaan checken. Want het advies van CISA zo, koppel die dingen los van het publieke internet. Zet er zorgen voor dat malicious actors er niet bij kunnen. Oké, Jelle?

Ja, ik heb dus mijn artikel uit vorige week donderdag. Dus dat is lekker. Artikel is eigenlijk meer een blog, want het is maar 1000 tot 1500 pagina's. Ik las pas aan het einde toen ik al... Paagnes? Woorden, denk ik. Sorry, woorden. Ja, toen ik aan het einde dat stuk had, toen las ik de author guidelines over hoe lang het mag zijn. Toen had ik al 3500 woorden geschreven en toen zag ik, oh fuck, tussen de 800 en 1200 woorden. Even door het cloud heen? Ja, zeker. En deelt die dan vervolgens... Toch wel echt heel veel van je darling's guilt, zeg maar.

En dat er heel erg sappig, of weinig sappig stuk uitkomt. Dus artikel uit heet Coping with Cyber Insecurity. En het gaat eigenlijk over het accepteren van cyberonveiligheid. Eigenlijk wat we hier heel vaak zeggen. Die breach gaat een keer gebeuren. Maakt niet uit wat je doet. Die vendor gaat een keer iets kwetsbaar als je zijn product hebt. En jij hebt netjes gepatcht. Die patch kan ook weer iets stuk maken. En als je dan kijkt naar de hele sector, cyber security sector, dan zijn we best wel een depressieve sector. Als je heel veel van die surveys moet geloven dan kettes.

Dus van ja, hoe komt dat dan? Ook deels doordat we zorgen maken over de verkeerde dingen. Namelijk over of die breach gaat gebeuren en of je genoeg hebt gedaan. Terwijl dit artikel eigenlijk over gaat van... Kijk naar de psychologie. Is het beter om een soort van... Ja, echt ook weer een open deur dit. Maar invloed hebben waar je kunt. Daarover nadenken. En ook waar je geen invloed op hebt. Dat vooral lekker even laten zitten en niet al te veel zorgen over maken. Dus daar gaat het artikel over. Een beetje een mix van psychologie met cyber security. Maar is dat dan dat de nerds het altijd over die de techniek willen hebben...

en dan even vergeet wat grotere plaatjes en wat nou de impact is en wat je ermee moet? Ik denk exact dat. Ja. En ook vooral denken dat je dit gaat fixen. Weet je dat je als je maar netjes aan de standaarden houdt. Als je maar netjes die compliance en risico registres gaat doen. Dat dat veiligheid veroorzaakt. Maar ja, dat is eigenlijk het hele idee. Terwijl je al die compliance dingen aan het doen bent. Dat je af en toe vergeet om gewoon nog na te blijven denken over van... Wat doe ik? Hoe zou een acteur naar mijn netwerk kijken? En eens een keer gewoon creatief met al die security controls omgaan. Want je kan je resource maar één keer inzetten.

En als ze bezig zijn met compliance dan zijn ze misschien niet bezig met... Nou ja, dat is niet echt een goede tegenstelling. Maar nu is ze niet bezig met de realiteit. Ja, ik vind dat een hele goede tegenstelling. Ik kan me alleen niet hardmaken in het artikel over van dat dit daadwerkelijk... bedrijven die overfokussen op compliance. Dat die de facto minder veilig zijn. Nou, dat heb je natuurlijk niet. Je hebt wel vaak dat mensen, dat is de standaard LinkedIn-poser natuurlijk. Als ergens een breach is geweest van... Dit bedrijf was ISO-gecertificeerd. Hoe kan dat dan? En die zie je wel vaak. Die vind ik een beetje cheap. Maar ja, ik denk wel dat het een factor is.

Nou ja, zo'n ISO-gecertificeerd bedrijf die ontvangt ook wel eens PDF's. Dit is mijn nieuwtje. Lekker bruggetje. En dan kun je er alles aan gedaan hebben en toch klapt het opeens. En ja, ik vind dit wel... Dit zijn wel de leukste aanvallen. Gewoon een PDF-film ontvangen. Je klikt erop en boom, de hacker zit binnen. En dat gebeurt wel vaker. Althans vroeger, volgens mij, heel vaak ging het. Had je allemaal een hele leuke PDF-exploit. En ondertussen... Automatisch heeft Adobe jullie al gefixt, dus geen paniek.

Maar als het goed is, heb je de nieuwste versie vanzelf al geïnstalleerd. Maar wat ik interessant vond, ik heb het even uitgeschreven. Op 26 maart wordt er een PDF-je geüpload bij Expanon. En dat is een platform van een Canadese security researcher met een typisch Canadese naam Hi-Fi Lee. En die werkte vroeger bij Microsoft en McAfee. En die is daar weggegaan, maar die heeft zijn eigen exploit-detectiesysteem gemaakt.

Want hij is heel erg met die sandboxing bezig. En hij vindt het heel leuk om iets te runnen en dan te kijken wat er gebeurt. En dat is op zich een goede manier om malware te vinden en te onderzoeken. Maar hij krijgt zo'n bestand binnen. En dat is geüpload. En dat heet YummyAdobeExploitUWU.pdf. Dus die uploader weet gewoon dat hij een exploit opsteurt. Maar het was een exploit waarvan de rest van de wereld op dat moment nog niet wist wat het was. Dus dan denk ik, kom ik straks op. Maar dat is een speculatieafdeling van dit nieuwtje. Maar ik vind dat heel raar dat iemand zo'n nietbekende exploit gaan uploaden met de naam exploit erin.

Dus hij doet dat niet om te weten van is dit nou goed of niet. Hij weet gewoon dat het fout is. En datzelfde bestandje stond ook al op VirusTotal. En dan zie je ook goed hoe goed al die virus scanners zijn. Daar hebben we het laatste keer over gehad. Die detecteren dus eigenlijk niks. En dertien van die virus-60 zien het als verdacht. Maar eigenlijk elk bestand dat je upload is altijd wel een virus scanner die het verdacht vindt. Of staat er alleen maar hello world in. Maar de rest zag dus niks. En in die sandbox gebeuren er rare dingen. En Lee kijkt dus blijkbaar mee naar die bestanden.

Want hij vond deze wel interessant. Dat systeem had hem gewaarschuwd van je moet naar gaan kijken. En terwijl hij naar hem kijkt, ziet hij dat dit niet gewoon een standaard buffer overflow of geen geheugenlekje. Het is gewoon echt een logische fout die diep in Adobe Reader's JavaScript engine zit. Dat is toch wel heel erg bittig om daar iets uit te halen en er wat mee te kunnen. Dus dan denk je vrij snel dat is iemand een staatelijke acteur of zo die langdurig daarnaast zit te kijken. Als je het bestandje opent, dan voelt het automatisch wat voor borg in je Haafscript uit.

En dan gaat hij kijken op jouw computer. Hij wil weten wat voor OS je draait, je taal, welke Adobe versie je hebt. En hij wil allele folders, bestandspaden weten. En dan stuurt hij dan naar een serve van de aanvallers. Dat is dan zeg maar stap 1 van deze aanval. Maar dan blijkt dus dat die aanvallers echt kijken wat ze terugkrijgen. En alleen als dat hun bevalt, dan krijg je ook stap 2. En dat is dan wat we dan misschien maar de payload moeten noemen. Dus dan gaat er gewoon echt wat gebeuren.

Dat is ook wat een typisch hacker niet doet. Die wil gewoon bij elke computer binnen. Die gaat echt niet kijken wie ben jij en wil ik wel bij jou? Ik weet dat sommige ransomware gasten die willen niet Russische targets hebben, slachtoffers hebben, want dan krijgen ze poet in de achterzijde. Dit ruikt heel erg statelijk. En hij probeert op allerlei mogelijke manieren die Lee zelf ook die payload te triggeren. Maar hij krijgt het niet uit. Maar dan is het nog interessant, want hij gaat nog verder zoeken. En dan blijkt dus op 28 november vorig jaar, op Virus Total, al die andere samplen ingediend te zijn. Dat is dus bijna 5 maanden zowat tussen voordat iedereen het opmerkt.

Dus dit is al gewoon 5 maanden minstens aan het rondgaan. Dan wordt er nog andere onderzoekers duiken er ook op. GI7 Worm kijkt zelf naar de PDF bestanden. Zo kan je ook doen. Technoten gaan niet gewoon lezen in zo'n PDF. Wat staat erin? Maar deze meneer wel. En die zag dus dat het in het Russisch was geschreven. En het gaat over actuele ontwikkeling in de Russische olie en gassector. En dan hoop je natuurlijk dat mensen die daar werken in die Russische energie sector werken, dat die graag het PDF zouden willen lezen.

En dan krijg je natuurlijk weer de vraag van wie verspreidt het? Want dit is natuurlijk echt wel staatelijke spionage, gericht op Rusland. Het is niet van Rusland afkomstig. En in de huidige geopolitieke context zijn er dan meerdere landen die zowel de middelen en de motivatie hebben. En dan kom je gewoon bij de Five Eyes uit, denk ik, uiteindelijk. Ik ben heel benieuwd naar jullie reactie. Ik zit diep in de ogen te kijken. Maar er wordt niks te zeggen hier. Stilte! Oké, dat kan ook. Ik kan hem nog niet gelezen. Ik vind hem interessant natuurlijk over...

Je dan denkt over van oké, ik ben het eens met die analyse over van dat je triggert op specifieke systemen dat dat een geavanceerdere acteur is die soort van planmatig optreedt. Dus dan inderdaad dat het een dreiging is in dat spectrum, die snap ik. Maar vervolgens, het is meer dat het hele internet in dit conflict tussen Oekraïne en Rusland zit ook helemaal vol met groeperingen die semi-overheid, die state non-state actors, zeg maar. Dat ik ook denk, ja, het kan ook zo'n type zijn. Ja, maar dan zit je wel weer met die Adobe dat die echt op, die JavaScript engine van de Adobe

dat je daar die kwetsbaarheid in hebt. En dat kan ik dan weer niet helemaal duidelen hoe complex dat is om dat te weten en te vinden. Maar misschien Mark ook daar een aanvulling op? Nou, dat stukje van die JavaScript niet. Nou, er zijn nog hele slimme mensen ook die vast niet bij de staat werken. Maar dan nog, ja, ik zat ook te denken van zou dit een soort tip-off kunnen zijn. Dus iemand heeft het ontdekt, ook bij een dienstwerk, maar die hebben zelf geen zin om Adobe te bellen. Want dan, nou ja, dat is allemaal complex. Maar dan ga je gewoon bestuintje gewoon zo uploaden.

En dan laat je internet verder maar het werk doen om het gefixt te krijgen. Ja, dat klinkt op zich ook logisch. Want ik val een beetje over dat überhaupt firestoto gebruikt wordt. Want als je dus in het geheim iets bouwt, wat je dan in het geheim ergens wil deployen, die gaat het dan op een van de meest, nou, doen we maar even, gescraped virus scanning straten, zeg maar, uploaden. Dat doet best wel, dat doet een beetje pijn in je opzek, denk ik dan. Ja, maar dit moet dus wel iemand geweest zijn die juist wou dat het op straat kwam, maar die niet de normale pad wou gebruiken. Via firestoto werkt het niet, dus dan ga je met iemand die wat beter in staat is om foute PDF's te herkennen.

Ja, maar ook de naam van het PDF'sje, van Yummy Adobe Exploit. Ja, precies. Dat je denkt, oké, dus iemand die hier niet mee naar buiten wilde zelf, zeg maar, dus niet een bullseye op zijn voorhoofd wil schetsen. Dus het kan inderdaad ook een andere acteur zijn of een iemand die inderdaad die exposure hiervoor wil genereren, zonder daarbij een flashy persconferentie te hebben met wij hebben dit gevonden en wij brengen dit naar buiten. Ja, dus dat vind ik best wel waarschijnlijk. Ja, oké. Nou, in ieder geval check nog heel even of je Adobe echt geupdate is. Maar waarschijnlijk ben je toch geen target, want je zit niet in Rusland en je werkt niet in de energie sector.

Dus maakt ook echt niet heel erg uit, toch? Oké, dan gaan we het nu hebben over waar we het eigenlijk over gingen hebben vandaag. En dat is gen-AI en cybersecurity. Maar uit de introductie nog heel eventjes, hoe gebruiken we nu zelf ook weer AI Marco? Nou ja, eigenlijk ben ik benieuwd, Ronald. Kan jij nog zonder? Kan ik zonder? Nee, ik ben helemaal verslaafd, dat weten jullie. Maar ik ben niet echt een coder en zo, dus ik zit niet heel veel cloud code te gebruiken. Maar ik zit wel voor al mijn normale dingen.

En een van mijn normale dingen is mijn geldtellen. Ik ben een beetje klaar met mijn vermogensbeheerder. Sommigen doen het goed, sommigen wat minder goed. Ik hoop dat ze luisteren. En ik heb geld weggehaald. Ik ga nu gewoon lekker zelf doen. En dat durf ik nu, omdat ik cloud heb. Maar ik doe het ook wel niet geautomatiseerd dat hij mag handelen, maar wel dat ik elke dag krijg ik nu een rapportje met wat hij mijn portefeuille gaat ophalen. Heel Bloomberg lezen, weet ik van allemaal, allemaal bekijken.

En ik neem aan dat iedereen die zelf een beetje aan het beluggen is, dat nu wel op deze manier doet. Wel heel risicovol, en als je dus één keer bij cloud binnen zit, kun je gewoon hele verkeerde adviezen geven. En dan kan je weer op inzetten van tevoren. Maar op die manier gebruik ik het. En ik gebruik het voor vermiste personen. Wat met mijn search-and-rescue-groep. Het is heel belangrijk, want we hebben allemaal trackers die zo snel mogelijk weten, is er eigenlijk iemand kwijt en moet er naar gezocht worden. Hij zit nu netjes social media vier keer per dag te scannen.

Een kostingshit lood aan tokens, maar ja, dat moet maar. En daar krijg ik rapportjes van. En die worden automatisch doorgestuurd en dan kunnen mensen op pad wel of niet. Dat is een vet. Ja, dat zijn dingen. Normaal komen we er niet op om gewoon in bepaalde Facebookgroepen regelmatig zelf dat te doen. Dus dat kun je gewoon automatisch laten doen. En er zit zoveel ruis tussen, dat weet je best wel redelijk goed uit te filteren. Er is heel weinig false positives waar mensen door onnodig op pad gestuurd worden. Maar wel interessant. Jij zegt dus dat je niet zo van programmeren bent,

maar dat doe je nu juist. Afprogrammeren boeit geen flying fuck meer, zeg maar. Nee, dat klopt ja. Maar er lopen heel tegen andere subbedingen aan. Cloud wil dus niet mailtjes versturen, maar wel wat drafts voor me klaarzetten. En dan moet ik alleen zelf nog op cent drukken. Ik denk ja, die is wel op. Ik hoef die guardwills niet. Ik zeg heel nadrukkelijk, ik wil gewoon een lijstje geven. Deze mensen mag je mailen. Dan gaat er ook nooit iets verkeerd de deur uit of zo. Of die manier nou zou kunnen inbouwen, dat zou heel fijn zijn. Dat kan allemaal wel hoor, met wat omwegen nog.

Maar dan ben ik ook luier. Dan krijg ik pushberichtjes van dispatch op mijn telefoon. En dan open ik het en dan kan ik nog één keer klikken. En dan stuurt hij wel het mailtje door. Dat is ook goed. Dat heb ik tenminste ook zelf gelezen wat ik verstuurd heb. Dat is wel goed als je een reactie krijgt. Dat is echt zo vet. Dat werkt goed. En ik denk dat dit dus echt, ik ben misschien wel op een bepaalde manier een held, maar dit is voor heel veel mensen gewoon echt toegankelijk om te doen. Je kan zo verschrikkelijk veel van je normale werkprocessen nu laten ondersteunen door... Ik ben een enorme cloudfan, maar op in EH heeft het allemaal wat minder.

Ook met dat geschedule en zo en dat co-work, waarbij je gewoon dwars door al je vol is op je eigen Mac Mini, je heen kan gaan de hele dag door. En ik kan in de auto iets bedenken van zoek dit nu uit. En dan met de basis van alle kennis die die heeft, gaat hij perfect aan de gang. En gewoon vanaf je telefoon heb je zoveel macht opeens. Het geeft een heel bijzonder gevoel. Het is bizar hè. En tegelijkertijd denk ik ook weer vanuit het aanvallensperspectief dan, oh ik heb remote control op mijn telefoon. Ja, dat is zo. Dat is een processie zo mooi.

We hebben ook wel wat, we hebben ook wel wat, nou ja, wat guardrails is ook nodig om dat ding... En er zullen ook echt wel dingen echt verschrikkelijk misgaan op een gegeven moment. Maar ja, dat hoort erbij. Hoort bij early adoption. Jelle, je vertelde net over je paper. Hoeveel heb je er zelf geschreven ervan? Ja, uiteindelijk, dat zeg ik ook tegen studenten, uiteindelijk is het hele, het is het hele proces. Dus ik vind die methode het belangrijkste. Weetenschappelijk, je maakt het alleen maar wetenschappelijk doordat je een vastgelegde methode gebruikt. Daar moet je altijd gewoon kritisch op zijn.

Dus inderdaad als je je hele paper genereert met AI, dan heb je waarschijnlijk een paper wat helemaal vol staat van, dit fenomeen is niet als A, maar veel meer als B, C en D. Of die fantastische M dashes, dus die streepjes, die gedachtenstreepjes, waar geen AI heel erg fan van is, want geen AI is getraind op data sets, waar heel veel wetenschappelijke auteurs ook in zitten. Dus dat zit helemaal vol met M dashes, die streepjes. En niet als constructies. Dus je kunt het helemaal laten genereren, maar vervolgens ben je wel verantwoordelijk voor elke fucking punt,

comma, punt, comma die op dat papier staat. Dus bij mij is het wel, ja, ik heb wel alles gecheckt ook om te kijken van, past het bij hoe ik schrijf, past het bij mijn eerdere stukken. Maar ik merk wel, als ik het niet zou hebben, zou ik echt afkikverschijnselen krijgen. Want vroeger, als ik een paper aan het ontwerpen was, of in mijn hoofd over na aan het denken was, had ik heel erg dat ik dacht van, oké, intro dit, plaatje hier, deze figuren, deze bronnen. En nu denk ik veel meer in mijn hoofd van, oké, dit kan ik handig wegzetten, dit zo in de contextfile, dan even deze prompt geven, zodat dit er ingeladen wordt.

Dus dat je veel meer in systemen denkt dan in output, zeg maar. Normaal dachten wij heel veel in output, zeg maar, en nu wordt je soort van gedwongen om te denken, hoe organiseer ik dit handig samen met die machine, zeg maar. Dus dat vind ik wel eens wondelijks in mijn hoofd, waar ik ook denk van, fuck, als een autootje, zeg maar, dat ik ook weer even moet schakelen van, hoe deed ik dit vroeger ook alweer? Vroeger is het fucking een jaartje geleden, zeg maar. Dus het is echt in een jaar zoveel veranderd. Marco? Eigenlijk wat jij net omschrijfde, gewoon altijd met dispatch,

dat heb ik heel erg met cloud code en remote control. Dus laatst ook, dan was ik mijn zoontje naar de voetbaltraining aan het brengen, zit ik op de fiets en dan schiet mij wat te binnen. En dan praat ik tegen mijn telefoon, daar staat dan Willow of Whisperflow op. Dat is zo'n AI dictation software. Dan zeg gewoon, joh, ik bedenk me opeens een nieuwe feature, plan, en schrijf een project brief voor een implementatie van X, Y, Z. Nou, dan kan die ondertussen dat lekker gaan plannen. En als ik dan krijg ik weer een notificatie, dan, nou, allow, allow, klik. Ja, pan ziet goed uit, kan je hartstikke goed.

Allow, allow, ja. Doe maar gewoon alles. En dit is dan langs het voetbalveld, toch? Ja, dat is een deel. En ik probeer ook nog wel daar de aandacht bij te houden, dat ik niet te scherp op mijn telefoon zit. Maar dat is lastig. Maar ik herken wel wat Jelle zegt in het meest systematisch denken, of systeemdenken, hoe noem je dat? Want ook in het schrijf van software, ik zit dus niet meer te nadenken over ja, welke functies en welke implementatie in die functies en ook moet sorteren. Nee, je zit veel meer eigenlijk vanuit architectuur en samenhang

en hoe moeten elementen met elkaar praten, maar ook welke functiontijd moet exposed worden aan de user. En ik ben niet de meest geweldige front-end developer ooit. Dat is echt een... daar ben ik gewoon niet sterk in. Dus dat kan ik heel goed uitbesteden. Ik heb eigenlijk gewoon een hele batterij aan agents die je kan aansturen en ik review wel een hele hoop code nog. Maar ook, ik merk wel steeds minder, want toch, ik krijg steeds meer vertrouwen in. Ik zie die modellen zijn gewoon zo sterk tegenwoordig in software schrijven. Ik ben fan. Het sterkste bijna. Die modellen zijn helemaal klaar en wat Anthropic aan het bouwen is,

zijn gewoon het sterkst in software. Dat gaat verderop ook over hebben, maar dat is gewoon de markt waar ze op getraind zijn, omdat het zo'n enorme markt is en waar het zo ontzettend lekker samenwerkt met dit soort... omdat je aan het genereren bent. Je bent output aan het creëren. Je bent dingen aan het opschrijven eigenlijk, alleen dan in je IDE. Ja, dat is dan misschien ook een goede brug naar Cloud Mittels en het Glasswing project, daar had ik van de week op LinkedIn even een postje over losgelaten. Ik ben nog aan het bijkomen van dat jij om twee uur nachts een bedje stuurde, Ronald.

Want Pago stuurt hier al twee uur nachts. Ik weet ook niet of ik weer wakker was geworden of dat ik dan naar bed moest of zo, maar ja, dat komt er voorbij. Het zit in mijn routine, ik geloof dat ik elke uur wel eventjes op X kijk. Ik zit in mijn eigen bubbel volgens mij. Ik zie alleen maar dan ook meldingen die hier dan over gaan die weer superhot zijn. Maar ik vond het ook echt... Ik heb dat toen gepost, maar daarna ga ik niet meer slapen. Dan moet ik er ook alles van weten ook. Dan kan je ook niet meer slapen.

Maar goed, wat gebeurde er dan? Op 7 april, dat was vorige week, we nemen het nu op op maandag, kondigde Anthropic Cloud Mittels de preview aan. En dat is dan een niet publiek beschikbaar model. En dat is echt supergoed in cybersecurity capabilities. En dat hadden ze zelf ook gerealiseerd, dus ze hadden ze maar gelijk een project gedefinieerd, Glasswing, en dat is dan een consortium met echt alle grote spelers. Amazon, Apple, Cisco, CrowdStrike, Google,

mooi op alfabet dit, JP Morgan, en de Linux Foundation, Microsoft en Vida en Palo Alto. En wat wilden ze daar nou bereiken? Dan vraag je dat de meest kritieke software ter wereld door Mittels heen gehaald zou worden en dat we daar alle foutjes in gevonden kunnen worden en dat die gerepareerd kunnen worden voordat Mittels opengegooid wordt. Dus het is nu niet beschikbaar voor het publiek, maar alleen voor de partners. Dus dat ze dan kiezen voor de, laten we dit even goed aanlopen, in plaats van, let's...

Nou ja, als ze het niet zouden doen. Dat is wel leuk dat je dat zo stelt, want stel dat ze het zo op de markt hadden geflikkerd, dan had ook Anthropic onderuit gehaald. Die draaien ook ergens op, één van deze grote jongens. Ze moeten hun eigen infrastructuur die ze nodig hebben, moeten ze beschermen. En ik neem aan dat ze hetzelfde al bedacht heeft. Ze heeft klotsend wel gezegd van, nou misschien moeten we het even vanzelf houden. Maar die technische claims die allemaal geuit worden door Anthropic, wat vind jij ervan, Marco? Als het allemaal echt waar is, we hebben alleen een best wel uitgebreid blogpost van hen.

En het was echt heel tof om te lezen. Het is zero-dequatsbaarheden in elk groep besturingssystemen, in elke browser. Alles wat je kan verzinnen hebben is onderhand wel gevonden. Ik vind het echt waanzinnig. Een voorbeeld, dan zei je na 27 jaar ouwe bug in OpenBSD, je 16 jaar oude bug in FFMPEG. FFMPEG is een software die video-take om... Ja, maar OpenBSD, je gaat er even snel over heen, is niet zo bad. Dat is natuurlijk wel het OS. Theo de Raad. Tenminste weer eentje die naar Canada verhuist, dus iedereen gaat daarheen geloven.

Maar wat een held is dat met zijn OS, wat nou ja, zelfde echt iets heeft. En die blijkt er gewoon al 27 jaar lang een bug in te zitten. Ja klopt, en nog wel in de TCP-stack ook nog. Dus best wel een kritiek component natuurlijk. Maar je kon alleen maar crashen, je kon er verder niks mee. Klopt, en toch als je wat kritieke systemen hebt draaien met OpenBSD, omdat je denkt dat dat veilig is, best wel probleem aan te steken als dat dan continu gecrashed zou worden. Zeker. Dus inderdaad, een 27 jaar oude bug in ongeveer het security-first OS. Dat is waar ik kijk in.

Een FFMPEG wordt ook ontzettend veel gebruikt, want dat is dus voor media te converteren, tussen allemaal codecs te parsen, dat soort zaken. Nou, elke verzer heeft ongeveer die bug gemist sinds 2010, maar ja, er zaten zo'n 16 jaar oude bug in. Verder nog een hele hoop guest-to-host memory corruption in de VMM. En dat is eigenlijk best wel komisch, want men zegt altijd rust is veilig, rust is memory safe. En VMM is geschreven in rust. Maar ja, ze hebben ook heel veel unsafe code gebruikt.

Daar zat de bug in. Dat is toch best lullig. En verder ook, welke ik het super interessant vond, is de FreeBSD NFS Remote Code Execution. Dus FreeBSD, nog zo'n best wel veilig bezieningssysteem. En NFS is een protocol om tussen systemen bestanden uit te wisselen. Standbaar. Vergelijkbaar met samen met hetzelfde. Ja. Maar goed, Remote Code Execution daarop is best heftig, want het wordt best wel veel gebruikt.

En ja, METALS heeft dus gewoon de hele attack chain ook uitgewerkt. En het is gewoon een working exploitation chain. Dus dat is echt lijp. Gewoon niet één bugje, maar je hebt een stapel nodig. Ja, inderdaad. Dus hij heeft een hele ROP-chain ook gebouwd. Dus dat is Return Oriented Programming. Of dan moet je instructies vinden in de code en dan daar de geheugenadressen van, zodat je daar eigenlijk naar toe kan springen in je exploit-chain. Laat ik even bij dat op een slagse niveau houden. En dat heeft hij gewoon uitgewerkt. Best wel vet. En verder nog, in de Linux kernel Privilege Escalation Bugs.

Dus het binnenste van de Linux bestuuringssysteem. In de browser heeft hij allerlei sandbox escapes en privilege escalations. En dan nog allemaal in een crypto library bugs gevonden. Dus Ronald, wat jij al zei. SSH, hè? Ja, precies. SSH implementatiefouten. Maar wat jij al zei over de implementatie van PQC. Ja. Ogerit Musta, daar gaan gewoon bugs in komen. Dat zie je hier ook, hè. Dat hier bugs in zitten. Ja, heel leuk. Maar goed, we hebben nu dan Mytrosty, die gaat vinden natuurlijk. Ja, deze hebben ze eruit gehaald.

Heb je nou een beetje het gevoel dat dit allemaal een marketing-spelletje is, om dit zo te lanceren? Want daardoor hebben we het er nu wel over. De bugs die ze hebben uitgelicht, zijn niet trivial om te vinden. En dat blijkt ook wel als bijvoorbeeld bij OpenBSD al 27 jaar lang daar een bug in zit. En niemand heeft dat ooit gevonden. Maar is dit een trucje wat je nu één keer kan draaien dan? Nou ja, ik weet het eigenlijk zelf al. Dit blijft gewoon natuurlijk heftig. Als het hierop werkt, dan alles wat nu er komt. Ja. Ja. Ja, en ik denk eigenlijk, het natuurlijk zit er ook misschien een stukje marketing achter.

Dat is natuurlijk wel de meest kritieke zaken. Die hebben ze waarschijnlijk wel eruit gelegd. Zo beeld ik mij dat in. Het is marketing, maar ook realistisch. Heeft Anthropic een incentief om zoveel aan marketing te doen? Want ze hebben al funding binnen voor de komende tijd wel. Het is een enorm dure bedrijf dit. Ja, er gaat een keer een IPO komen. Dus hoe meer aandacht, hoe beter. En dan gaan de huidige aandeelhouders nog meer pakken. En ik denk ook in de space van ethiek en kijken hoe goed wij hiermee overweg gaan.

Het is natuurlijk best wel mooi. Wat hebben zij gezegd al? Het is mooi dat ze beginnen met een soort researchers preview. In plaats van gewoon maar het internetstuk laten gaan, wat ook had gekund. Maar is dit model nou gewoon een logische opvolger van wat gebruiken we nu allemaal? Sonnet en Opus? Of is dit specifiek gemaakt voor cybersecurity doeleinden? Er zit wel ook gewoon reasoning capability. Alles zit er eigenlijk gewoon in. Ik heb wel de indrukken. Er ligt heel veel aandacht op de cybersecurity tak. Dat is gewoon een normale versie. Het is een flex your model, wat er achter hangt.

En wat in de lijn van 4.5, dus Opus en Sonnet 4.5, 4.6 zit. Het is ook gebenchmarked tegen 4.5 en 4.6. Maar specifiek dit stukje van het vinden van vulnerabilities is waar het onderscheidend is. Waar de andere modellen wat moeite hadden om tot die exploit te komen. Of wat moeite, gewoon 0% tot 1% slagingskans hadden om een functionele exploit te doen. We komen nu verder op in. Er zit dit op 83%. Vergroting zeg maar. De Sonnet vindt de exploit in 4% van de gevallen.

Opus in 14% en Mythos in 83%. Dat is geen klein stapje of zo. Het is echt gewoon 400%. Meer dan 400%. Maar heel eventjes nog terug. Want de kerstpijlen vinden dat is één ding. Maar je moet er ook gebruik voor kunnen maken. Kan dit daar nou ook bij helpen? Ja, want uiteindelijk heeft hij laten zien met het uitwerken van die hele... Even kijken welke site ik net net al was. Die FreeBSD en de Vest Remote Code Execution. Dat heeft hij dus helemaal uitgewerkt.

En hetzelfde voor de Linux kernel. Had hij ook drie of vier kwetsbeheerden aan elkaar geknoopt. En hetzelfde geldt voor de browser. Had hij een aantal dingen aan elkaar geknoopt. Dus ja, daar gaat hij mee helpen. Er zijn ook een hele hoop geluiden van mensen die zeggen... Ja, goh, hij heeft ook allemaal... Ik noem het maar even Vulnerability Fantasy's gegeneerdeerd. Van er zijn wel kwetsbeheerden, maar daar kom je nooit bij. Die kun je nooit uitbuiten. Nou goed, deze voorbeelden laten we wel zien dat het daadwerkelijk kan. Ja, en ik vind die stap, met name waar het net even over had, om daar nog wel even op terug te komen.

Dat die stap zo ontzettend significant is, zeg maar. Dus dat je van Opus 4.6, wat een model is. Wat echt enorm veel kan. En heel veel software developers ontzettend veel helpt in het bouwen van code. Dat dat dus in één moment, of één moment, een heel kort moment in geschiedenis is eigenlijk. Dus drie maandjes gaat van 0% exploitable code genereren naar die 83%. Dus dit is mythos. En Opus is, wat is het, een halfjaartje autogrok ik. Opus 4.6 dat we die hebben. Dat is sowieso, ja.

Dus een halfjaartje verder. Wat hebben we over een halfjaar te pakken, zeg maar. Dus ook al als je dat even terugkijkt naar capabilities. En dat plot, dit is geen lineair geval. Dit gaat elke keer met zo'n ontzettende stap die gemaakt wordt. Dus je gaat hier heel snel naar enge en toffe capabilities toe. Kom ik toch weer terug op de meme van Will Smith eating spaghetti. Waarbij je ziet dat eigenlijk de tijd tussen verbeteringen, die verkort gewoon exponentieel, zeg maar. Dat is echt waanzin. Ja, oké.

Ja, fantastisch. En dan is het een beetje een extraatje. Wat ze op een gegeven moment niet verwacht hadden, misschien maar wat er opeens bleek in te zitten. Of hebben ze hier hard aan gewerkt, omdat ze specifiek deze capabilities erin wilden hebben dan? Ik had dus een vet blog, wat ik niet meer terug kan vinden. Dus als iemand me kan helpen om dat te vinden. Vragen.etsyberhelden.nl Ja, een gast die heeft gewerkt bij Frontier Lab. Die was bezig met die code en die modellenbouwer. En die zei dat ze heel vaak verbaasd zijn doordat ze een nieuwe weights doen. Nieuwe capabilities, nieuwe processing. Dat ze verbaasd zijn dat er een nieuwe capability ontstaat.

Dus dat ze af en toe echt geschokt zijn door de benchmarks die het nu weer haalt. En dat die gast ook zei en schreef van af en toe is het voor ons ook echt fucking eng om mee te maken. Zeg maar dat je zo'n grote stap ineens in je code ziet. Dus volgens mij is het ook af en toe gewoon spelen met modellen. En achterkomen dat een hele, nou ja. En het stom is, dat door zo'n fonds dat een hele product tak binnen cybersecurity onder de loop ligt. Of het bestaansrecht zeg maar in één keer op losse schroeven staat. Ik wil heel eventjes, ik zit erna te denken.

Kijk, als ik ermee met Klotz aan het spelen ben. Dan krijg ik altijd van dat ik uit mijn tokens ben en dat ik erbij moet kopen. Maar dat hebben zij zelf natuurlijk niet. En Tropic kan draaien wat ze willen, want het is hun spul. Maar aan de achterkant, ze maken echt wel kosten toch om dit te kunnen doen? Als je ziet wat deze bedrijven aan kosten nodig hebben om te opereren en een start-up thermologie noem je dit. Thermologie noem je dit runways volgens mij. Of hoe lang kun je het volhouden met het geld wat erin zit, Ronald? Klopt dat? Ja, oké.

Maar dat die runway echt zo snel opgebrand is en dat OpenAI op dit moment 120 miljard heeft. En Tropic 70 miljard. Maar dat die ook al heel snel weer een nieuwe rondel nodig hebben om maar hun dingen in de lucht te houden. Dus zij worden niet begrensd door tokens, maar wel door heel basale dingen als energie, data processing. Of eigenlijk is energie het grootste vraagstuk. Hoe zorgen dat je dit allemaal kunt poweren? Maar kan je dan nog steeds omzetten in hoeveel geld het kost om één bugje te vinden? Ja, één blog heeft dit wel gedaan. Die komen op dat die OpenBSD-bug, jullie beide favoriete OS, 50 dollar per run was per iteratie ronde.

Dus 50 dollar per iteratie ronde. En die hele chain bij elkaar verwacht dat dat 20.000 dollar kost, zeg maar, deze exploit. Dat is ja gewoon niks. Nee, en die NFS exploit schat ze op onder de 1000 dollar. En die Linux kernel exploit, dat was onder de 2000 dollar. En dit zijn allemaal bedragen in orde van 20.000 dollar. Ook voor die Linux kernel exploit, dat was minder dan 2000 dollar, lees ik. Wat betaalden jullie vroeger daarvoor, voor een leuk zero-date?

Als ik hem even opzoek, dan komen we op ongeveer meer dan een ton voor die kernel exploit. Als ik dit online bekijk, Ronald. Online, oké. Niet in je geheugen. Oké, en? Maar ik had wel het gevoel van dit hebben we het al een keer eerder meegemaakt toen de fuzzers kwamen. Dus ook van die tools die lekker automatisch op zoek gaan naar gaatjes, naar kwetsbaarheden. Is dit nou vergelijkbaar, Marco?

Nou, vergelijkbaar. Toen de eerste fuzzers breed werden ingezet, dus AFL, een lib-fuzzer, wat is dat, AFL-queer, merken fuzzy lop, vernoemd na een konijn. Toen waren we ook van die zorgen van, ja mooi, mooie vette naam. Toen waren we ook van die zorgen van ja, aanvallers gaan alle bugs vinden. En is er ook wel kort gebeurd. Maar inmiddels is met OSS fuzz, is dit toch wel echt een hoeksteen van open source security-ecosysteem geworden. En de verdedigers profiteren eigenlijk meer ervan.

En Antropiq zegt zelf ook, de most security tooling has historically benefited defenders more than attackers. Alleen ja, we zitten nu mogelijk al in die transitieperiode. En dat is dus een heel gevaarlijke deel wat we hebben gezien bij die fuzzers. De overgang naar wanneer defenders er echt gebruik van kunnen maken. Maar goed, er zijn ook skeptici. Het bedrijf Aisle, of dan ook Aisle, claimt dat kleine open-weight-modellen dezelfde kwetsbaarheden vonden. 8 van de 8 modellen ontdekten de FreeBSD-bug. Ja, maar er is ook een vet blog van Svi Moshovid.

Ook een gast die heel veel Magic the Gathering-dingen en decks heeft uitgebracht. Die hierop ingaat en die eigenlijk zegt van, dat was heel lelijk. Want die open-weight-modellen, wat ze daar hebben gedaan is zeg maar een stukje waar de kwetsbaarheid in zat. Of het kwetsbare module al gegeven. En hij zegt, hier zit die in. Zie jij hem ook, zie jij hem ook. Zie jij hem ook zeg. Daar zit kwetsbaarheid in, dus dat is lelijk. En dus af en toe natuurlijk ook, ik snap dat kleine bedrijven zeggen, we zijn er ook nog en wij doen ook toffe dingen. Normaal als je tegen de Frontier Labs op aan het boksen bent.

Maar het doet dan wel met de juiste methode, gebruik met methode. Precies, het is ook super biased dat je als AI-bedrijf zegt, nee, dat is overtrokken. Daar komt het gewoon lelijk over. We hebben het nu wel continu over Anthropic, maar ze zijn echt niet de enige. We hebben ook OpenAI. Spreekt die nou al wat klaar op dit vlak? Ja, dus een tijd terug vorig jaar, oktober, heeft OpenAI Aardvark gelanceerd. Dat is dan zo'n agentic security research. Die zit eigenlijk mee in je developmentketen. Net die softwareontwikkelingsketen moet ik dan zeggen. En die gaat meestal scannen van code repositories, kwetsbaarheden zoeken.

En dan ook beoordelen hoe exploiteerbaar een kwetsbaarheid is. En prioriteren en allemaal van dat soort zaken. En daarop hebben ze ook doorontwikkeld. Inmiddels heet het dan security codecs, als ik het even goed zeg. Die gebruikt geen traditionele technieken, zoals fuzzingen en dergelijke, maar echt LLM reasoning. En zoals ik al zei, het zit echt in je pipeline. Dus analyse, commit scannen. De commit is als je software hebt aangepast, dan doe je een commit van jouw changes. En zodra je dat doet, gaat codecs meekijken naar wat je hebt aangepast en hoe oké is dat.

Dat valideert je in een sandbox. En patcht eventueel ook gelijk. Want wel is het verschil met MeeTOS, om gelijk ook even een beetje de vergelijking te trekken, is dat security codecs heel erg specifiek getraind is op cybersecurity. Waar MeeTOS dus een general model zou zijn. Heel erg divisief gepositioneerd. En dan zit het gewoon heel erg in je developmentketen. Ik ben benieuwd hoe dat met MeeTOS gaat zijn. Of dat dan cloud code ook een soort security codecs krijgt en zo mee in je pipeline zit. Dat is nog niet helemaal duidelijk of dat kan. Maar heeft OPNA het ook heel voorzichtig gereleased, net zoals Anthropic dat nu doet?

Ze hebben wel een private beta gelanceerd. Maar nu kan iedereen gewoon codecs gebruiken. Maar hij is wel lelijk over hoeveel aandacht hiervoor was. Of relatief veel aandacht voor aardvarken was, zeg maar. En dan vervolgens van, is dit het nou in codecs security? Of hoe zit het allemaal? En wat is er met van aardvark over? Want die zouden een private beta doen, daar zouden resultaten uitkomen. En het is nu vier maanden later en daar hoor je minder van. Ik heb het idee dat OpenAI ook af en toe qua communicatie, sowieso het zijn fronteerlabs en het zit een heel complexe wereld nu natuurlijk.

Maar voor communicatie heb ik af en toe ook niet heel wat ze aan het doen zijn en wat hun profiel is of zo. Daarom vind ik het ook heel moeilijk om deze precies te zeggen hoe het allemaal zit. Volgens mij is aardvark in ieder geval zeg maar, ge-rebrand naar codecs security. En in februari is er een nieuw model daarvoor geloof ik gelanceerd. Als ik nu vanmiddag wil hacken, dan kan ik nu toch ook heel makkelijk gewoon aan de gang gaan al met oude bugs, waarvoor al patches bestaan, maar die gewoon nog niet geïnstalleerd zijn. En MeeTOS kan gewoon volledig autonom van dat CV1-nummer naar een werk- en exploit toe werken.

En dan loop je nu op heel veel plekken naar binnen. Als je toegang hebt tot MeeTOS wel. Hier wordt ook van gezegd, zes tot acht maanden, gaat deze capability of dit type capability ook op de markt beschikbaar zijn via competitors of vergelijkbare bedrijven, of het nou Krokk is of DeepSeek. DeepSearch. Even een hoop techniek gedaan, maar wat betekent het nou allemaal voor mensen die aan het werk zijn? De white colors. We hebben allerlei revoluties gehad. Dit zal ook weer een revolutie worden waardoor de arbeidsmarkt er anders uit gaat zien.

Ja, ik heb het natuurlijk weer peper gevonden, maar het is entropic ook weer. Ik weet dat we even heel erg entropic als bron in hebben, maar dit is wel gewoon een mooi artikel met ook andere onafhankelijke wetenschappers gepubliceerd. Dat gaat over de arbeidsmarkt hoe die eruit ziet. En Forbes heeft dit artikel gelezen of het onderzoek gelezen van entropic en gezegd van hier komt er een grote recessie aan voor de white color workers. Nou, in Nederland is dat de kenniswerker of de beeldschermwerker noemen we dat hier, zeg maar. Dus mensen die het moeten hebben van kennis produceren op een scherm.

Ik ken eigenlijk witte borden alleen maar in de context van criminaliteit. Verder hebben we het er nooit over. Dat is de witte borden criminaliteit. Ja, maar dus in Nederland de kenniswerker ook wel zo. Klinkt misschien nog iets liever. Het is wel vet trouwens, als je dit artikel opzoekt dan zie je er als auteur T. Claude. Dus een van hun modellen. Maar anyways, ze hebben dus een rapport uitgebracht. Een goed artikel waar ze starten met het voorsten is echt... Dus eigenlijk is de geschiedenis nog nooit goed gelukt om te voorspellen hoe een technologie

een maatschappij gaat beïnvloeden. Dus daar starten ze mee, vind ik mooi. Maar uiteindelijk is hier ook dat quote, dat citaat wat je wel eens hoort. We overschatten de impact van technologie op de korte termijn en onderschatten het op de lange termijn. En dat is wel waar gebleken voor heel veel technologieën. Ja, en dus wat zij zeggen, we moeten eigenlijk kijken naar een nieuwe metric. En dat is observed exposure versus het daadwerkelijke gebruik van AI. Dus een sector kan theoretisch heel veel AI potentieel hebben. Als niemand het gebruikt omdat het een heel conservatieve sector is,

ja, dan gaat AI nooit de waarde of de bijdrage leveren die het kan. En vervolgens hebben ze dus een hele mooie radiochart die ik een van de mooiste vind die hier in zit. Dus een grote cirkel met erbij alle sectoren. Noem jij even op wie je nu kunt gaan solliciteren? Ja, fuck. Ja, fuck. Dus management, business and finance, computer en wiskunde, Ronald. Architectuur en engineering, dus maken van moeilijke complexe berekeningen, het ontwerpen van gebouwen naar de life and social sciences.

Juristen, hetzelfde, arts en media. Dus grafisch ontwerpers, ontwerpers, mensen die content... Ja, dat is wel interessant. Wat vaak zeggen mensen juist van in die sectoren, van ja, maar die creativiteit, dat zit er niet in. Dat komt echt bij mensen vandaan. Als je dan creativiteit ziet als associatief denken, wat we vaak door elkaar halen denk ik, dan is zo'n generatieve AI fucking sterk in associatief denken, doordat het zo deterministisch stochastisch is, zeg maar, dat het niet altijd dezelfde content genereert.

Af en toe verschillende concepten aan elkaar haak die misschien totaal irrelevant zijn voor elkaar. Dus dat het daar juist heel sterk in is. En de goede office, een administratieve zaak, daar zie je het bij ons drie ook allemaal in. Wij zijn eigenlijk een hele tool suite om ons heen aan het bouwen, die je ook door een managementassistent had kunnen laten uitvoeren, zeg maar. Dus agenda management, je tooling. Dus dat die sectoren eigenlijk het meest onder mogelijke druk komen te liggen van generatieve AI. Wat ik toch interessant vind, is dat bijvoorbeeld installation en repair en construction en agriculture,

dat die zo ver achterblijven in dit schemaatje. Ja, maar daar is er ook niet zoveel voor te doen, toch? Dat is toch wel op zich. Maar als je dus bijvoorbeeld foto's kan maken van de omgeving en je zegt, wat moet ik met mijn grond doen? En dan zegt hij, deze moet je een jaar lang braak laten liggen, deze moet je je tractor pas sturen. En we gaan dan langzaam maar zeker ook naar allemaal spullen die autonom kunnen rondrijden en zo. Ik voorzien daar dat er nog veel meer mogelijk is. Want we hebben volgens mij een hele hoop vergeten kennis over hoe natuur werkt. We zitten heel erg in de moderne grondbewerking, maar we vergeten daarbij eigenlijk oude trucjes,

zoals bijvoorbeeld dat regenwormen eigenlijk de omploegers zijn van de natuur. Kijk, onder de rivieren, ja, dat merk je al. Heel veel regenwormen hier. Maar ik voorzien dat er veel meer ondersteuning op plaatsvindt dan ook Google die dan... Ja, maar dat gaat allemaal over kennis. Kennis rondom landbouw en zo. Uiteindelijk moet je nog steeds mensen naar buiten die velden opsturen. Ik zie hier al die wijen, die druiven die altijd geplukt worden, omdat het leefbaar nogal gekopen is. Ja, er lopen gewoon allemaal mensen rond.

Die mensen zijn nog steeds gekoper dan ook apparaten die ze in Frankrijk gebruiken. Het gaat over weer markt-economische impact. Dus even dat voorbeeld over agriculture. De impact dat een hovenier nu of een boer zijn hele veld en zijn trekker dingen beter kan plotten en zo. Wat is daar de meerwaarde van in zijn kosten? Omdat die persoon waarschijnlijk al relatief weinig tijd besteed aan plannen, is de impact van generatieve AI daarop misschien wat minder. Dus het gaat echt over hoe het zich om zet zich om in markt-economische factoren.

Dus dat je meer tijd hebt en hoe groot is dat tijdfactor die dan ontstaat en daarmee geldt. Dat is heel algemeen antwoord dit. Dat knip ik misschien uit. Nee, ik vind het wel goed. Ik denk dat het klopt. Maar goed, we hebben net ook al gezegd, volgend jaar is het jaar van de robots. Dus dan krijg je weer andere typen plaatjes. En als je dat bij elkaar ligt, AI en robots, dan gaat de wereld nog echt veranderen. Maar wij ik een beetje afweer van cybersecurity toch even tussennaar. Wat zien we nou al gebeuren?

Dat Jack Dorsey van Block, vroeger Square, lieverde gewoon de helft van zijn mensen aan ons slagen. En gezegd, vanwege AI en op de Amerikaanse arbeidsmarkt, ik volg er niet dagelijks, maar in ieder geval in februari 92.000 banen minder. Daar zal Trump niet blij mee zijn. 30 procent van de mensen doen helemaal niks met AI in hun omgeving. Er gebeurt er niks mee. Maar 70 procent is blijkbaar wel. Dus dit gaat gewoon echt mega impact hebben. De Perp Management Engineer, een van de meest gevolgde software engineering nieuwsbrieven, beschrijft ook een step change.

Want nog zo'n moeilijke naam, André Carpati, noemde AI coding tools in oktober 2025 nog slop. En die ervaring deelde ik wel, want toen AI gebruikte had ik heel snel last van hallucinaties. Maar ja, twee maanden later schreef hij volgens, I've never felt this much behind as a programmer. Met andere woorden. Eigenlijk werd hij een beetje ingehaald door de realiteit met hoe AI zijn werk ondersteunde. En Boris Czerny, de maker van Cloud Code, schreef 200 pull requests in een maand zonder één keer zijn IDE te openen. Dat is 100 procent AI-generatie. Dat is natuurlijk best wel vet, hè.

Dus daarin zie je natuurlijk echt een hele grote impact in de hele software engineering kant. En Dario Amodei, die voorspeld in maart 2025 AI's schrijft 90 procent van de code binnen zes maanden. Leek absurd, maar dat is nou toch uitgekomen. En Malte Ubel, de CTO van Vercel. The cost of software production is trending towards zero. Nog zo'n eentje. Je ziet in de software development space, gaat hard. Ja, lastig. Ja, dat is ook weer die link naar de arbeidsmarktcijfers en dat onderzoek van Entropic en die andere onderzoekers.

Is dus dat je dit ziet gebeuren. Dus wat in dat onderzoek wordt geschetst is van oké, software development heeft 94 procent capability. Op dit moment nog maar 33 procent gebruik. Dus de theoretische AI-inbreng en de daadwerkelijke praktische AI-inbreng. Daar zit nu nog een gap tussen. Maar je ziet doordat al die CEO's van al die tech bedrijven dit omarmen. Dit gaat gebeuren. Het gaat meer zijn dan wat, nou ja, 73 procent van de open AI-gebruikers van GPT gebruiken het als een soort search engine.

Hetzelfde zoals je Google gebruikt van wat voor leuke dingen kan ik doen in Utrecht bijvoorbeeld. En daar heb je op zich nog niet zo heel veel aan. Maar als je het op een gegeven moment gaat integreren als software developer of als mens in al je workflows in je leven, dan krijg je dus productiviteitswinst. Als je het alleen maar gebruikt als zoekmotor, zoals search engine, zoals Google, dan heb je 50 tot 10 procent productiviteitswinst. Als je je workflows om dit type software, zoals generatieve AI, heenbouwt, kun je gaan van naar 30 tot 40 procent productiviteitswinst.

En dan wordt het dus heel interessant als jij die medewerker, dat je mens bent die dit omarmt en die dit gebruikt, ben je dus minimaal 50 procent effectiever dan de buren om je heen die het niet gebruiken. Dat maakt natuurlijk een kant eng, en mijn andere kant ook heel interessant om dit wel te doen. Want je kunt meer dan ooit, wat Marco volgens mij in onze WhatsApp laatste keer zei, ik heb denk ik nog nooit zoveel software gebouwd in mijn leven als de afgelopen periode. En dat is dit in de praktijk. Luih gast.

Ja, 100 procent. Voor cybersecurity specifiek, de vraag is niet of AI banen vervangt, maar of de entry barrier bijvoorbeeld verlaagt. Kan iemand zonder securities training straks met bijvoorbeeld Meetals zero days vinden? En Anthropix zegt ja, en ik denk ook dat het vinden op zich niet zo'n probleem is. Het enige waar ik zelf nog heel benieuwd naar ben naar hoe zich dat gaat ontwikkelen is, hoeveel kennis je zelf nog nodig hebt om het dan ook effectief te gebruiken. Dus wat ik nu bijvoorbeeld in mijn software ontwikkelingen dingen zie is dat ik moet zelf nog wel echt nadenken over architectuur

en hoe dingen samen hangen en toch nog wel daarin een guidance bieden. Maar dat gaat op een gegeven moment ook obsolete zijn en ook voor exploits. Dus ja, kan op een gegeven moment het model volledig voor jou zeggen, hey, ik zie dat jij Iraanse energie sector wil hacken. Hier zijn drie exploits. Nou ja, goed, het is wel helder waar dat heen gaat volgens mij. En de echte verschuiving is natuurlijk niet dat we minder banen gaan krijgen, maar we gaan op andere manier werken. En nou ja, mensen gaan andere titels krijgen. Het was een leuk verhaaltje van GitHub,

maar een developer zei, mijn next title might be the creative director of code. Dat nu een programmeur is, maar dat geeft denk ik heel goed beeld waar het heen gaat. En of je gaat erin mee of niet, maar als je niet meegaat, dan val je af. We moeten het weer terugbrengen naar cybersecurity. We gaan gewoon een andere podcast nog een paar parallelen maken. Maar ik denk ook wel het feit dat wij steeds ook zo, je merkt dat we willen over cybersecurity praten, maar we worden elke keer door de AI weggetrokken.

Dat laat denk ik ook heel goed zien hoe relevant het is, ook juist in ons werkveld, maar in het algemeen denk ik. Maar moeten we eventjes voor onze luisteraars toch nog eventjes bij elkaar brengen, wat voor hun nou belangrijk is. Dus wat zijn de concrete takeaways voor onze luisteraars? Wat je ziet is dat die graffiti Marco eerder deelde over de time to patch, zeg maar. Dus dat is twee, drie episodes geleden volgens mij afleveringen. Dat ik in mijn hoofd zat van hoe de fuck gaat dat ooit één minuut worden, zeg maar. Dat er kwetsbaarheid uitkomt en dat de exploit al klaar ligt.

En dat we nu, ja bam, maand later is het gewoon helder. Dat is dit soort systemen, dus die de kwetsbaarheid vinden, dus vanuit defensiefs perspersief misschien. Maar vervolgens in 70 of 80 procent van de gevallen, het binnen een aantal iteraties omzetten naar een exploit. Dit is hoe je naar one minute time to patch gaat, zeg maar, op die website. Dat vind ik aan een kant ook een beetje eng. Ik zat te denken, moet ik nou snachts mijn Mac mini gaan uitzetten? Want er kan zomaar exploits verschenen zijn die ik nog niet heb kunnen patchen. Maar ja, als ik hem dan aanzet, de dag erna, dan gaat iedereen zijn patches downloaden.

Maar dan ben ik juist kwetsbaar en dan is zeker die exploit klaar om aan te vallen. Het is een lastige afweging allemaal nu. Vandaar, coping with cyber insecurity. Accepteer dat die brief gaat plaatsvinden en focus je op defensief. Precies, goed paper was dat ja. En ik denk toch ook weer, nog een keer die uitspraak te doen, val terug op de basis. Als je je basis op orde hebt, je monitoring, attack service management. Zorg gewoon dat je in ieder geval inzicht hebt. En dat je gewoon wel zo snel mogelijk kan detecteren als er wat mis gaat.

Want het liefst zou ik zeggen, bouw allemaal agents om je patch cycles te automatiseren. Maar dat is best wel eng om dat in productie autonom te laten doen. Als mijn mailtjes niet eens verstuurd mogen worden. Ja precies, laat staan je core switch updaten. Dus ontwerp je processen van je bedrijf, bouw hier een workflow mee. Hoe ga je hier zo effectief mogelijk mee overweg? En heel veel van die modellen kunnen het al dingen. Opus 4.6, dat staat ook weer in dat hele blog hierover. Die kan al heel goed of relatief goed vulnerabilities vinden. Die alleen heeft moeite om ze om te zetten in exploit.

Dus een aantal van de modellen die er zijn, je kunt hier al mee testen. In productie is het misschien slecht om te testen. Niet in je productie omgeving, maar in je dev omgeving om hier gewoon mee te experimenteren. Maar wat moet je nou als je bedrijf doen? Een beetje groot bedrijf, je hebt een security team. Wat moet je nou rondom je medewerkers doen? Hoe ga je hun de handvatten geven zodat ze effectief mogelijk kunnen zijn? Binnenlopen met een stapel Mac-minis. Kleine kruiwagen met Mac-minis en Mac-studios. Dat is echt naar je productiesysteem.

En een weekje vrijgeven, gewoon een week vrijgeven. Neem zo'n ding mee naar huis. Niet tegen je vrouw vertellen dat je vrij bent. Alleen maar smurf. Of tegen je partner moet ik zeggen. Of je gaat op kantoor zitten, want anders hebben ze het natuurlijk door dat je... Oké, maar een bredere boodschap, Jelle. Hoe gaan we afsluiten? Dat blog zei dat ook weer heel genuanceerd en mooi. En dat vind ik af en toe best wel sympathiek aan een bedrijf dat ook gewoon geld moet maken. Maar die hebben eigenlijk gezegd dat we de afgelopen 20 jaar in relatieve balans geleefd hebben.

Oké, er kwamen fussers uit, er kwamen dingen uit. Maar relatief was het wel ongeveer dat we het een klein beetje hadden. Dat het een beetje religieus maar aan ons geopend baard is.

Dat dit ook wel het einde kan zijn van 20 jaar relatieve stabiliteit op ons oh zo geliefde internet. Ja, maar goed. En wat de antwoord is, ik hoorde het Marco net zeggen, en dat is me het meest bijgebleven. Uiteindelijk is het defense in depth-overwegingen. Ga er gewoon vanuit, worden ze je shitloat aangaten gevonden. En dat mag gewoon niet betekenen automatisch dat als iemand een kwetsbaarheid kan exploiten... dat hij ook graag alles stuk kan maken bij of alles kan stelen of wat dan ook. Oké, en daarom denk ik nu dat wij als Cyberhelden heel duidelijk moeten uitspreken.

Ga nu beginnen, doe dit niet morgen, doe dit niet volgens het kwartaal, doe het nu. En investeer in AI-kennis en ga ermee aan de gang en bouw aan je defense in depth. Als je een vraag hebt aan ons of je hebt een leuk suggestie voor een heel ander type podcast... dat je bent klaar met AI, stuur het maar naar vragenetcyberhelden.nl. En ook suggesties voor gasten, maar ook. Soms hebben we gasten die zich aanmelden en opeens hoor je er niks meer van. Dat gebeurt zo maar, je weet het al over wie ik het heb. En elke week kan je dan weer luisteren naar een nieuwe aflevering van Cyberhelden.

Onze gesprekken met Cyberhelden kun je terug luisteren via Spotify en je favoriete podcast... Marco zet je mic maar op hoor. En vergeet ook niet te subscriben, dan krijgen we zelf een notificatie. Dat kan ik klauw voor je doen. Als er weer een nieuwe aflevering klaarstaat. Veel dank voor het luisteren en graag tot de volgende keer. Tot de volgende keer. Dat is al lang hè.