Hadrian vindt in recordtijd ernstige overheidslekken met goedkope ai

In dit artikel:

Het Amsterdamse cybersecuritybedrijf Hadrian ontdekte in enkele uren honderden kwetsbaarheden in systemen van de Nederlandse overheid. CEO Rogier Fischer zegt dat hun ai‑gestuurde scans binnen uren zwakke plekken blootlegden, en dat bij het ministerie van Binnenlandse Zaken een P1‑lek (hoogste risicoklasse) werd aangetroffen dat pas na negen dagen volledig was verholpen. Hadrian meldde het kritieke probleem bij de dienst Open Regels op 6 mei; pas de daaropvolgende vrijdag ging die dienst offline om het lek te dichten. Volgens de onderzoekers waren servergegevens en een bestand met inloggegevens vindbaar, waardoor toegang tot zowel de database als de Azure‑cloudomgeving mogelijk was — in theorie voldoende om software aan te passen of ransomware te plaatsen. Hadrian spreekt zelfs over een “voordeur wagenwijd open”.

Hadrian testte tevens Open Zaak, gebruikte gemeentesoftware voor onder meer paspoortaanvragen, en trof daar een ingewikkeld te misbruiken maar ernstig beveiligingsprobleem aan, waaronder honderden accounts met te veel rechten. Fischer waarschuwt dat zulke fouten, gecombineerd met de snelheid waarmee ai kwetsbaarheden opspoort, een groot risico vormen voor zowel publieke als private organisaties. Zijn analyse: buiten de overheid is het bedrijfsleven vaak nog slechter af, omdat de overheid relatief veel pentests uitvoert.

Om organisaties te helpen brengt Hadrian een gratis open‑source “harnas” uit voor pentests — een LLM‑gestuurde agentische tool die instructies, toegang tot testtools en een geïsoleerde testomgeving levert zonder de broncode nodig te hebben. Het harnas maakt deel uit van Hadrians autonome pentestmotor Nova, die menselijke pentesters kan nabootsen. Fischer verwacht dat ai binnen een jaar in staat zal zijn vrijwel alle softwarekwetsbaarheden te vinden; dat maakt de technologie dubbelzinnig: nuttig voor verdedigers maar ook bruikbaar door criminelen of vijandige staten. Hij benadrukt dat ai‑modellen “extreem goed” zijn in het opsporen van zwakke plekken en dat iedere organisatie zich daarom dringend moet voorbereiden.

Bij de onderzoeken gebruikte Hadrian niet per se het duurste model; ook goedkopere modellen zoals Deepseek waren effectief. Hadrian startte met GPT‑5.5 van OpenAI, dat volgens Fischer vergelijkbaar is met Anthropic’s controversiële Mythos‑model. Het bedrijf, vijf jaar oud en deels gefinancierd door investeerders als Bill Gates en Jeff Bezos, werkt met een hacker‑perspectief en inzet van machine learning en cloudtechnologie om preventieve aanvallen uit te voeren.

Fischer concludeert dat de komende twee jaar veel herstelwerk nodig is om kwetsbaarheden uit tientallen jaren softwareontwikkeling te repareren; tegelijk kan ai bijdragen aan veiliger nieuw ontwikkelde software, maar het digitale speelveld blijft gevaarlijk.