Vorige week publiceerde Anthropic iets wat de cybersecuritywereld deed schudden. Claude Mythos, hun nieuwste AI-model, ontdekte autonoom duizenden kwetsbaarheden in besturingssystemen en browsers. Kwetsbaarheden die decennialang onzichtbaar waren, omdat ze pas gevaarlijk worden als je ze aan elkaar ketent.
Wat als ziekte geen diagnose is, maar een keten van kwetsbaarheden die al jaren sluimert?
Een zero-day is een enkele kwetsbaarheid die niemand kent. Nog gevaarlijker dan een zeroday is een ‘chain of vulnerabilities’: ogenschijnlijk onschuldige zwakheden die samen een heel systeem openbreken. Dit is precies waar Mythos goed in is. Het denkt niet in enkelvoudige kwetsbaarheden, maar in patronen en verbanden. In patronen die pas zichtbaar worden als je het systeem als geheel bekijkt. Met interesse heb ik de berichten gelezen en terwijl ik de berichten las, dacht ik niet aan code of aan besturingssystemen, ik dacht aan mijn patiënten.
De geneeskunde denkt in enkelvoudige oorzaken
Stel je voor: een patiënt van 68 jaar komt op de spoedeisende hulp met benauwdheid. We meten bloeddruk, zuurstofsaturatie, maken een ECG, prikken bloed en maken een röntgenfoto. Diagnose: acuut hartfalen. Vervolgens behandelen we het hartfalen.
Maar dat hartfalen is geen oorzaak. Het is de laatste schakel in een keten die tien, twintig jaar geleden begon. Een licht verhoogde bloeddruk die niemand urgent vond. Een cholesterolwaarde net boven de grens. Een sluimerende insulineresistentie die nooit formeel werd gediagnosticeerd. Jaren van slechte slaap, een buurt met luchtvervuiling, een leven vol chronische stress. Elk afzonderlijk: een klein signaal, maar samen is het een systeem dat bezwijkt.
De oorzaak van hartfalen en vele andere ziekten is multifactorieel. Maar dat woord maskeert hoe fundamenteel ons denkmodel tekortschiet. Multifactorieel klinkt als een verklaring. Wat we eigenlijk bedoelen: we begrijpen de keten niet.
Hetzelfde geldt voor dementie. De meeste vormen zijn niet het gevolg van één slecht gen of één fout moment. Ze zijn het resultaat van decennia aan vasculaire schade, metabole ontregeling, chronische ontsteking en genetische aanleg die pas pathologisch wordt als de andere schakels op hun plek vallen. De amyloïde-plaques die we zien op de scan zijn niet de oorzaak. Ze zijn het eindstation.
Infecties en kanker werken precies zo
Waarom wordt de ene persoon ernstig ziek van een infectie en de andere niet? Kijk naar COVID-19. Mensen met hypertensie, diabetes of obesitas overleefden het aanzienlijk slechter, omdat het virus een keten van bestaande kwetsbaarheden kon activeren.
Kanker werkt niet anders. Een tumor begint met een defect in een DNA-herstelmechanisme. Dat defect leidt tot mutaties, die zich geleidelijk onttrekken aan het immuunsysteem, dat inmiddels al verzwakt is door andere factoren. Kanker is geen aanval van buitenaf. Het is een biologisch systeem dat zijn eigen zwaktes tegen zichzelf keert.
In de cybersecurity heet dit een exploit chain. In de geneeskunde noemen we het een ziekte. Toch is het fundament hetzelfde: een aaneengeschakelde ketting van kleine, ogenschijnlijk onschuldige kwetsbaarheden die gecombineerd tot het falen van een systeem leidt.
Wat Mythos werkelijk bijzonder maakt
Anthropic gaf Mythos niet publiek vrij, maar zette het via een besloten consortium in bij onder anderen Apple, Google en Microsoft. Begrijpelijk. Ze weten dat dit type AI kwetsbaarheden in software vindt die mensen missen, omdat het menselijk brein nu eenmaal niet gebouwd is om honderden zwakke signalen tegelijk te wegen en te zien hoe ze elkaar versterken. En precies dat missen we ook in de geneeskunde.
Laten we het voor de zorg anders noemen. Niet Mythos, maar Asklepios: naar de Griekse god van de geneeskunde, wiens slang het gif kende én het tegengif. Want dat is precies wat zo'n systeem zou moeten doen.
Stel je voor dat zo'n systeem continue toegang heeft tot de gegevens van een patiënt: niet de momentopname van een consult, maar de stroom van jaren. Licht afwijkende labwaarden, een verslechterde slaapscore, omgevingsdata van de woonwijk, genetische aanleg, medicatiehistorie. En dan niet zoekt naar één oorzaak, maar naar de keten. De combinatie van factoren die samen, in deze specifieke persoon, de kwetsbaarheid opbouwen.
De wetenschappelijke basis is er al. Exposoomonderzoek laat zien hoe omgevingsfactoren kwetsbaarheden over een heel leven vormen. Wat er nog niet is: een systeem dat die ketens vroeg genoeg herkent om er iets mee te doen.
Er zit een scherpe kant aan dit verhaal die ik niet wil wegmoffelen. Een systeem dat de biologische keten van een persoon in kaart brengt, heeft toegang tot het intiemste wat er is: wie je bent, hoe je leeft, wat je lichaam al weet voordat je het weet. Dat vraagt om een ontwerp dat privacy niet als bijgedachte behandelt, maar als fundament. Ik denk dat de meerwaarde groot genoeg is om dit gesprek serieus te voeren. Maar dan wel eerlijk: dit systeem werkt alleen als mensen het vertrouwen. En dat vertrouwen verdien je niet met een privacyverklaring.
Begin met de vraag
Ik pleit niet voor meer technologie. Ik pleit voor een andere manier van kijken. Ziekte is geen diagnose. Een diagnose is het moment waarop het systeem al gefaald heeft. De keten begon jaren eerder, stil en onopgemerkt, totdat de omstandigheden precies verkeerd samenvielen. Asklepios kan die ketens zien. De zero-days van ons biologische systeem vinden voordat ze worden geëxploiteerd.
