Tien euro en twee uur rekentijd. Meer had een AI-systeem niet nodig om een website van de Rijksoverheid open te breken, de wachtwoorden te lezen en volledige toegang tot de database te krijgen. Het Amsterdamse cybersecuritybedrijf Hadrian toonde eerder deze maand wat het Nationaal Cyber Security Centrum al langer vreest: goedkope AI maakt hacken zo eenvoudig dat je beveiligingsteam het tempo niet meer bijhoudt. De vraag is niet meer of je website kwetsbaarheden heeft. De vraag is of jij ze eerder vindt dan een aanvaller met een tientje op zak.
Wat is er precies gebeurd?
Hadrian, een Amsterdams bedrijf gespecialiseerd in geautomatiseerde pentesting, richtte OpenAI's GPT-5.5 op meerdere overheidswebsites om te testen hoe snel een AI kwetsbaarheden kan opsporen. Het model scande de broncode, identificeerde beveiligingslekken en bouwde een volledige aanvalsketen. Volledig geautomatiseerd. De totale kosten: een tientje aan API-credits.
Het eerste doelwit was Open Regels, een overheidsdienst die wetten vertaalt naar praktische regels voor burgers en ambtenaren. De AI vond een kritieke kwetsbaarheid met classificatie P1, de hoogste ernst. Serverinformatie en een bestand met inloggegevens lagen openbaar toegankelijk op straat. Hadrian-CEO Rogier Fischer tegen Computable: “Daarmee kreeg ik volledige toegang tot de database en de Azure-cloudomgeving.”
Het tweede doelwit was Open Zaak, de software die gemeenten gebruiken voor onder meer paspoortaanvragen. Daar hadden honderden gebruikers rechten die ze niet nodig hadden. Een risico dat jarenlang onopgemerkt was gebleven.
Overigens was Hadrian niet het enige bedrijf dat dit testte. Cybersecurityfirma AISLE vond met vergelijkbare AI-tools sinds september meer dan tweehonderd kwetsbaarheden in overheidssystemen, meldde de NOS.
Wat vond de AI op de overheidsservers?
Kwetsbaarheden die al jaren in de software zaten zonder dat iemand ze opmerkte. Bij Open Regels ontbrak een basale controle op IP-adressen. Dat klinkt als een beginnersfout, maar precies dat soort missers blijft onzichtbaar als niemand systematisch zoekt.
Denk aan een kantoorgebouw waar de achterdeur al twintig jaar niet op slot zit omdat er toch nooit iemand langskomt. Een AI komt wel langs. Een AI probeert elke deur, elk raam en elke kier, in een paar uur, zonder pauze. Fischer zei het treffend: “We zien nu pas hoeveel kwetsbaarheden er in dertig jaar softwareontwikkeling zitten.”
Open Zaak verwerkt gevoelige gegevens van burgers: van paspoortaanvragen tot vergunningen. Dat honderden medewerkers meer toegangsrechten hadden dan nodig, betekent dat elk van die accounts een potentieel instappunt was voor een aanvaller. Een menselijke auditor had daar weken voor nodig gehad. De AI vond het in een middag.
Het gaat niet om geraffineerde zero-day exploits die alleen statelijke hackers beheersen. Het gaat om vergeten configuratiebestanden, standaardwachtwoorden die nooit zijn gewijzigd en rechten die te breed zijn ingesteld. Het soort fouten dat ook bij grote techbedrijven als Google voorkomt, laat staan bij een gemiddeld mkb-bedrijf.
Waarom kost hacken nog maar tien euro?
De prijs van een geautomatiseerde aanval is in twee jaar tijd spectaculair gedaald. GPT-5.5 kost een paar cent per duizend tokens. Een volledige scan van een middelgrote website kost daarmee minder dan een broodje kroket.
Wacht even, het wordt nog goedkoper. Hadrian testte dezelfde aanval ook met DeepSeek, een goedkoper Chinees model, en vond precies dezelfde kwetsbaarheden. De ondergrens van wat een aanvaller nodig heeft, ligt nu op een paar dollar en een e-mailadres om een API-key aan te vragen.
Vroeger had je voor een serieuze hack een team specialisten nodig, weken voorbereiding en dure tools. Nu kan iedereen met een laptop en tien euro jouw website scannen op kwetsbaarheden. De drempel is weg. Eerder schreven we al over hoe GPT-5.5 als geautomatiseerde hacker werkt, maar dat waren losstaande experimenten. Dit is de eerste keer dat het op echte Nederlandse overheidssystemen is aangetoond, met een prijskaartje dat iedereen kan betalen.
Uit Hadrians Offensive Security Benchmark Report 2026 blijkt dat 99,5 procent van alle geautomatiseerde beveiligingsmeldingen een vals alarm is. Slechts 0,47 procent is daadwerkelijk te misbruiken. Maar als een AI in een paar uur honderden meldingen genereert en die ene halve procent feilloos vindt, heb je een serieus probleem.
Fischer voorspelt dat AI binnen een jaar in staat is om alle kwetsbaarheden in alle bestaande software te identificeren. Niet een deel, niet alleen de ernstige, maar allemaal. Als die voorspelling ook maar half uitkomt, is elke website met software ouder dan een paar jaar binnenkort volledig doorzichtbaar voor iedereen met een API-key.
Steeds minder tijd om lekken te dichten
Negen dagen. Zo lang duurde het voordat de overheid het lek bij Open Regels dichtte nadat Hadrian het op 6 mei meldde. Voor een overheidsinstelling is dat relatief snel. In de nieuwe realiteit is het een eeuwigheid.
Op CISODAY 2026, waar meer dan driehonderd beveiligingsprofessionals samenkwamen, was NCSC-directeur Matthijs van Amelsfort glashelder: “Vroeger duurde het dagen voordat een aanvaller een fout misbruikte, nu is dat uren. Dat zal minuten worden.”
Die tijdlijn raakt jouw bedrijf direct. Als een beveiligingspatch pas na drie werkdagen wordt uitgerold, ben je te laat. Uit Hadrians data blijkt dat 94 procent van de zero-day kwetsbaarheden binnen vijf dagen wordt opgelost, maar dat de exploitatie soms al na een paar uur begint. Het gat tussen ontdekking en misbruik krimpt elke maand.
Voor context: in 2024 had 23 procent van de Nederlandse bedrijven te maken met phishing- en spoofingaanvallen, volgens de CBS Cybersecuritymonitor. Die aanvallen worden steeds geavanceerder door AI. Waar een phishingmail vroeger vol taalfouten zat, genereert een LLM nu een foutloze, gepersonaliseerde mail in seconden. Combineer dat met de snelheid waarmee AI kwetsbaarheden vindt, en je begrijpt waarom het dreigingslandschap er fundamenteel anders uitziet dan twee jaar geleden.
Dimitri van Zantvliet, voorzitter van het CISO Platform, vatte het samen: “Er is geen paniek, maar het is zeker urgent. We moeten versnellen, zodat we fouten oplossen voordat ze misbruikt worden.”
Hoe groot is de beveiligingskloof bij jouw bedrijf?
Groter dan je denkt. De CBS Cybersecuritymonitor 2025 laat een alarmerend verschil zien tussen grote en kleine bedrijven. Van de grote bedrijven met 250 of meer medewerkers neemt 86 procent tien of meer beveiligingsmaatregelen. Bij microbedrijven met 2 tot 10 medewerkers is dat 13 procent. Een op de vijf kleine mkb-bedrijven neemt geen enkele maatregel, aldus het CBS.
Versleuteling van gevoelige data is een ander pijnpunt. Bij grote bedrijven versleutelt 91 procent zijn data, volgens dezelfde monitor. Bij microbedrijven is dat 33 procent. Twee op de drie kleine bedrijven bewaren klantgegevens, facturen en wachtwoorden zonder enige bescherming.
Ondertussen had 77 procent van het Nederlandse mkb in de afgelopen twee jaar te maken met een vorm van cybercrime, volgens onderzoek van Vodafone Business. En slechts 19 procent van alle Nederlandse bedrijven heeft een cyberverzekering.
Voor jou betekent dit: de kans dat je bedrijf geraakt wordt is groot, de kans dat je er goed tegen beschermd bent is klein. AI vergroot die kloof, want aanvallers hoeven niet meer te investeren in dure expertise. Jouw verdediging kost nog steeds tijd en geld.
Een concreet voorbeeld: als je website draait op software die ouder is dan vijf jaar en je hebt nooit een pentest laten uitvoeren, dan zitten er waarschijnlijk kwetsbaarheden in die een AI binnen een paar uur vindt. Dezelfde fouten die Hadrian bij de overheid aantrof (open configuratiebestanden, te brede gebruikersrechten, vergeten loginpagina's) komen net zo goed voor bij mkb-websites. Tools als Claude die je codebase scannen op beveiligingsfouten helpen, maar vervangen geen grondige pentest.
Drie dingen die je deze week kunt doen
Je hoeft geen beveiligingsexpert te zijn om de ergste gaten te dichten. Drie stappen die je vandaag nog kunt zetten.
1. Laat je website scannen. Hadrian heeft de technologie achter hun overheidstest uitgebracht als gratis open-source tool genaamd OpenHack. Je kunt er je eigen broncode mee scannen op dezelfde kwetsbaarheden die de overheidswebsites kraakten. De tool maakt deel uit van Hadrians Nova-motor, dezelfde technologie die het experiment aandreef. Downloaden, draaien, en je weet binnen een uur waar je zwakke plekken zitten. Heb je geen interne IT-kennis, overweeg dan een eenmalige sessie met een cybersecurityconsultant om de resultaten te interpreteren.
2. Controleer je patchbeleid. Als je langer dan 48 uur wacht met het installeren van beveiligingsupdates, is dat te traag. Zet automatische updates aan waar dat kan en maak een afspraak met je IT-beheerder over een snellere patchcyclus. Zorg er ook voor dat je CMS, plugins en frameworks up-to-date zijn. WordPress-sites met verouderde plugins zijn een van de meest voorkomende doelwitten.
3. Beperk gebruikersrechten. Bij Open Zaak hadden honderden gebruikers beheerdersrechten die ze niet nodig hadden. Controleer deze week wie in jouw systemen volledige toegang heeft en beperk rechten tot wat mensen echt nodig hebben voor hun werk. Dit kost een uurtje en dicht een van de meest voorkomende beveiligingslekken.
Overigens: de MIT R&D AI-subsidie van RVO (tot 350.000 euro) dekt ook investeringen in AI-gedreven beveiligingstools. Als je toch al overweegt je digitale beveiliging te verbeteren, is dit een goed moment om die subsidie erbij te pakken.
Wordt jouw website de volgende?
De Rijksoverheid repareerde het lek bij Open Regels negen dagen nadat Hadrian het meldde. Die reactietijd was voor een overheidsinstelling al relatief snel. Voor jouw bedrijf is negen dagen straks negen dagen te laat.
De les uit dit verhaal is niet dat de overheid slechte beveiliging heeft. De les is dat alle software kwetsbaarheden bevat, en dat AI ze nu sneller vindt dan mensen ze kunnen oplossen. De tools om je te beschermen bestaan, ze worden steeds goedkoper en in sommige gevallen zelfs gratis. De tools om je aan te vallen bestaan ook. Die zijn al goedkoop.
De vraag is niet of jouw website kwetsbaarheden heeft. De vraag is of jij ze eerder vindt dan iemand anders. Tien euro. Zo weinig kost het om erachter te komen.
