The Hague, Netherlands, 7 May 2026
The Dutch Institute for Vulnerability Disclosure (DIVD) today announces the launch of Project Lacewing, a European, transparent and community-driven initiative to use AI for finding and responsibly disclosing vulnerabilities in critical software.
AI is changing vulnerability research. Capabilities that were once limited to highly specialised researchers are becoming faster, cheaper and easier to use. That creates opportunities for defenders, but also a serious question: who gets access to these capabilities, under what conditions, and in whose interest?
Project Lacewing is DIVD’s answer to that question.
The project follows the announcement of Anthropic’s Project Glasswing on 7 April 2026. Glasswing gives selected organisations early access to advanced AI capabilities for vulnerability research, with launch partners including major US technology, finance and security companies. Project Lacewing takes a different route: open where possible, European by design, independent in governance, and driven by the security community.
“AI will change how vulnerabilities are found. That part is no longer theoretical. The real question is who controls these capabilities, and whether they are used only behind closed doors or also in the public interest. With Project Lacewing, DIVD wants to build an open, independent and European answer.”
The barrier to finding software vulnerabilities is dropping rapidly. AI models can already assist researchers in reviewing code, identifying suspicious patterns and accelerating the discovery of security flaws. In the wrong hands, that same capability can increase the speed and scale of offensive activity.
DIVD believes this development should not be left only to large technology companies, commercial security vendors or state actors. Critical software is used by everyone. The ability to find and fix vulnerabilities in that software should also serve the wider public interest.
Project Lacewing will focus on using AI for defensive vulnerability research, coordinated disclosure and practical remediation. Affected vendors and organisations will be notified first. Public communication will follow only when responsible disclosure allows it.
That is how DIVD has always worked: find what is vulnerable, notify the people who can fix it, and keep pushing until the risk is reduced.
Project Lacewing will invest in AI capacity for vulnerability research, including both cloud-based model access and locally running open-source models. The project will explore where AI can meaningfully support researchers, where current claims need independent validation, and how these capabilities can be used safely and responsibly.
The project starts with several workstreams:
Building the partner ecosystem, setting the research agenda and defining the roadmap.
Investigating how open-source AI models can support vulnerability research in a transparent and reproducible way.
Independently evaluating claims made by commercial model providers and testing where these models are useful, limited or risky.
Using AI-assisted research to investigate software and systems that are important to society, especially where they are not already covered by existing initiatives.
Automating the discovery of sensitive data unintentionally exposed in public locations, such as cloud storage buckets, source code repositories and other publicly accessible media.
Finding common misconfigurations in internet-facing systems and services before attackers can abuse them.
Project Lacewing does not change DIVD’s principles. DIVD does not publish vulnerabilities before affected parties have had a chance to take action. Researchers working under Project Lacewing will follow DIVD’s responsible disclosure process and code of conduct.
AI may change the speed and scale of vulnerability discovery, but it does not change the responsibility that comes with it.
DIVD is a non-profit organisation of volunteer security researchers. Since its founding, DIVD has handled hundreds of vulnerability cases and notified organisations around the world about vulnerable systems and leaked credentials.
Project Lacewing builds on that experience. It combines DIVD’s coordinated vulnerability disclosure process, volunteer community and public-interest mission with new AI capabilities.
The goal is simple: use the same developments that attackers may abuse to help defenders move faster.
The founding partners of Project Lacewing are DIVD and Schuberg Philis, a Dutch IT company specialised in mission-critical systems.
DIVD is looking for additional partners who want to contribute to the project. Support can include funding, compute capacity, hardware, technical expertise, research time, access to codebases, or help with public outreach.
Project Lacewing is especially looking for support in three areas:
Project Lacewing is open to researchers, partners and organisations that want to help use AI for defensive security in the public interest.
Website: www.lacewing.nl
Contact: lacewing@divd.nl
Donate: divd.nl/donate
The Dutch Institute for Vulnerability Disclosure is a non-profit organisation of volunteer security researchers. DIVD aims to make the digital world safer by finding vulnerabilities in digital systems and reporting them to the people who can fix them. DIVD works independently, globally and under a strict responsible disclosure policy.
Den Haag, 7 mei 2026 — Het Dutch Institute for Vulnerability Disclosure (DIVD) lanceert vandaag Project Lacewing, een Europees, transparant en community-gedreven initiatief om AI in te zetten voor het vinden en verantwoord melden van kwetsbaarheden in kritieke software.
AI verandert kwetsbaarheidsonderzoek. Mogelijkheden die voorheen vooral beschikbaar waren voor zeer gespecialiseerde onderzoekers worden sneller, goedkoper en makkelijker inzetbaar. Dat biedt kansen voor verdedigers, maar roept ook een belangrijke vraag op: wie krijgt toegang tot deze mogelijkheden, onder welke voorwaarden, en in wiens belang worden ze gebruikt?
Project Lacewing is DIVD’s antwoord op die vraag.
Het project volgt op de aankondiging van Anthropic’s Project Glasswing op 7 april 2026. Glasswing geeft geselecteerde organisaties vroegtijdig toegang tot geavanceerde AI-mogelijkheden voor kwetsbaarheidsonderzoek, met launch partners uit onder meer de Amerikaanse technologie-, financiële en securitysector. Project Lacewing kiest een andere route: open waar mogelijk, Europees by design, onafhankelijk in governance en gedreven door de securitycommunity.
“AI gaat veranderen hoe kwetsbaarheden worden gevonden. Dat is geen theorie meer. De echte vraag is wie deze mogelijkheden beheert, en of ze alleen achter gesloten deuren worden ingezet of ook in het publieke belang. Met Project Lacewing wil DIVD een open, onafhankelijk en Europees antwoord bouwen.”
De drempel om softwarekwetsbaarheden te vinden daalt snel. AI-modellen kunnen onderzoekers nu al helpen bij het beoordelen van code, het herkennen van verdachte patronen en het versnellen van het vinden van beveiligingsfouten. In verkeerde handen kan diezelfde ontwikkeling de snelheid en schaal van offensieve activiteiten vergroten.
DIVD vindt dat deze ontwikkeling niet alleen moet worden overgelaten aan grote technologiebedrijven, commerciële securityleveranciers of statelijke actoren. Kritieke software wordt door iedereen gebruikt. De mogelijkheid om kwetsbaarheden in die software te vinden en te verhelpen moet daarom ook het bredere publieke belang dienen.
Project Lacewing richt zich op het gebruik van AI voor defensief kwetsbaarheidsonderzoek, coordinated vulnerability disclosure en praktische mitigatie. Getroffen leveranciers en organisaties worden eerst geïnformeerd. Publieke communicatie volgt pas wanneer verantwoorde openbaarmaking dat toelaat.
Zo werkt DIVD al sinds de oprichting: vinden wat kwetsbaar is, melden bij de mensen die het kunnen oplossen, en blijven opvolgen totdat het risico is verlaagd.
Project Lacewing investeert in AI-capaciteit voor kwetsbaarheidsonderzoek, waaronder toegang tot cloudmodellen en lokaal draaiende open-sourcemodellen. Het project onderzoekt waar AI onderzoekers echt kan ondersteunen, waar claims onafhankelijk getoetst moeten worden en hoe deze mogelijkheden veilig en verantwoord kunnen worden ingezet.
Het project start met verschillende werkstromen:
Projectinitiatie
Het bouwen van het partnerecosysteem, het bepalen van de onderzoeksagenda en het uitwerken van de roadmap.
Open-sourcemodellen
Onderzoeken hoe open-source AI-modellen kwetsbaarheidsonderzoek transparant en reproduceerbaar kunnen ondersteunen.
Commerciële modellen
Het onafhankelijk toetsen van claims van commerciële modelaanbieders en onderzoeken waar deze modellen nuttig, beperkt of risicovol zijn.
Onderzoek naar kritieke software
AI-ondersteund onderzoek naar software en systemen die belangrijk zijn voor de samenleving, vooral waar die nog niet door bestaande initiatieven worden meegenomen.
Data leak discovery
Het geautomatiseerd ontdekken van gevoelige data die onbedoeld publiek toegankelijk is, bijvoorbeeld in cloudopslag, broncoderepositories en andere openbare locaties.
Misconfiguratieonderzoek
Het vinden van veelvoorkomende misconfiguraties in internet-facing systemen en diensten voordat aanvallers ze kunnen misbruiken.
Project Lacewing verandert niets aan de principes van DIVD. DIVD publiceert geen kwetsbaarheden voordat getroffen partijen de kans hebben gehad om actie te ondernemen. Onderzoekers die binnen Project Lacewing werken volgen het responsible disclosure-proces en de gedragscode van DIVD.
AI kan de snelheid en schaal van kwetsbaarheidsonderzoek veranderen, maar niet de verantwoordelijkheid die daarbij hoort.
DIVD is een non-profitorganisatie van vrijwillige securityonderzoekers. Sinds de oprichting heeft DIVD honderden kwetsbaarheidscases behandeld en organisaties over de hele wereld geïnformeerd over kwetsbare systemen en gelekte credentials.
Project Lacewing bouwt voort op die ervaring. Het combineert DIVD’s proces voor coordinated vulnerability disclosure, de vrijwilligerscommunity en de publieke missie met nieuwe AI-mogelijkheden.
Het doel is eenvoudig: dezelfde ontwikkelingen die aanvallers kunnen misbruiken inzetten om verdedigers sneller te laten handelen.
The founding partners of Project Lacewing are DIVD and Schuberg Philis, a Dutch IT company specialised in mission-critical systems.
DIVD is looking for additional partners who want to contribute to the project. Support can include funding, compute capacity, hardware, technical expertise, research time, access to codebases, or help with public outreach.
Website: www.lacewing.nl
Contact: lacewing@divd.nl
Donate: divd.nl/donate
Het Dutch Institute for Vulnerability Disclosure is een non-profitorganisatie van vrijwillige securityonderzoekers. DIVD wil de digitale wereld veiliger maken door kwetsbaarheden in digitale systemen te vinden en te melden bij de mensen die ze kunnen oplossen. DIVD werkt onafhankelijk, wereldwijd en volgens een strikt responsible disclosure-beleid.