ECB Panggil Bank: Waktunya Tambal Celah yang Dibongkar AI Super Canggih

Respons Krisis Tiga Jalur ECB

Pada 26 Mei 2026, ECB mengadakan pertemuan khusus dengan bank-bank untuk membahas risiko keamanan siber yang diungkap oleh Claude Mythos Preview dan model AI canggih serupa . Pertemuan ini mengkristalkan pendekatan regulasi yang dibangun di atas tiga tuntutan mendesak.

Percepat penambalan, tanpa alasan. Wakil Ketua ECB, Frank Elderson, memperingatkan bank-bank bahwa "waktu terus berjalan" dan menyuruh mereka untuk "secara signifikan mempercepat" upaya keamanan untuk memperbaiki celah yang telah diekspos oleh model tersebut . Ia menggambarkannya sebagai pekerjaan mendesak untuk "memperbaiki celah yang telah terungkap" .

Bagikan apa yang Anda ketahui. Karena bank-bank Eropa sebagian besar tidak dilibatkan dalam konsorsium terbatas yang menguji model tersebut, ECB meminta bank-bank AS yang memiliki akses untuk berbagi wawasan dengan rekan-rekan Eropa mereka. Elderson mengakui situasi ini "sangat disayangkan" tetapi menekankan bahwa "kurangnya akses ke model ini bukan alasan untuk tidak bertindak" .

Jawab pengawas. ECB menggunakan dialog pengawasan rutinnya untuk secara sistematis mewawancarai bank-bank tentang kesiapan mereka menghadapi ancaman siber berbasis AI, mengumpulkan informasi tentang paparan ancaman, kecepatan penambalan, dan perangkat pertahanan mereka . Pendekatan ini mencerminkan aksi regulasi global yang terkoordinasi, meskipun ECB belum mengeluarkan panggilan tingkat tinggi seperti yang dilakukan oleh Departemen Keuangan AS .

Urgensi ini didukung oleh validasi dunia nyata. Lembaga Keamanan AI Inggris (AISI) menemukan bahwa Mythos Preview menyelesaikan 73% tantangan Capture the Flag tingkat ahli, sebuah tolok ukur yang tidak dapat dilewati oleh model AI mana pun sebelum April 2025. Mozilla merilis Firefox 150 dengan 271 tambalan untuk kerentanan yang ditemukan oleh model tersebut .

Apa yang Sebenarnya Ditemukan Claude Mythos Preview

Kerentanan ini bukan sekadar teori. Dalam periode evaluasi yang terkontrol, model tersebut secara mandiri mengidentifikasi dan menghasilkan eksploitasi yang berfungsi untuk ribuan celah tingkat tinggi, termasuk celah eksekusi kode jarak jauh berusia 17 tahun di server NFS FreeBSD yang memberikan akses root tanpa autentikasi kepada penyerang mana pun yang terhubung ke internet, dan kerentanan crash berusia 27 tahun di OpenBSD yang telah lolos dari auditor manusia selama puluhan tahun .

Cakupannya bersifat sistemik dan tidak spesifik pada vendor tertentu. Setiap sistem operasi utama dan peramban web terpengaruh . Lebih dari 99% kerentanan yang ditemukan belum ditambal, meninggalkan permukaan serangan yang sangat luas terekspos di seluruh infrastruktur teknologi lawas sektor keuangan .

Kemampuan eksploitasi model ini melampaui deteksi pasif. Model tersebut secara mandiri mendemonstrasikan jalur eksploitasi untuk celah kritis pada perangkat lunak yang digunakan secara luas, mengonfirmasi temuan dengan bukti konsep yang berfungsi selama jendela evaluasi . Para pakar keamanan siber kini melihat model ini menimbulkan tantangan signifikan bagi industri perbankan dan sistem teknologi lawasnya .

Mengapa Eropa Terbang Buta

Tantangan paling akut yang dihadapi institusi Eropa bukan hanya keberadaan kerentanan, melainkan akses asimetris ke alat yang menemukannya. Anthropic menyusun perilisan Claude Mythos Preview melalui Project Glasswing, sebuah pratinjau riset berpagar dengan akses yang diprioritaskan untuk kasus penggunaan keamanan siber defensif—tetapi terbatas pada konsorsium mitra teknologi yang sebagian besar berasal dari AS, termasuk AWS, Google Cloud, dan CrowdStrike .

Bank, regulator, dan perusahaan keamanan siber Eropa sebagian besar terkunci. Mereka harus memperbaiki celah yang tidak dapat mereka selidiki atau verifikasi secara independen dengan kemampuan AI yang sama . Ini menciptakan asimetri defensif di mana penyerang yang memiliki akses dapat mengeksploitasi kerentanan yang tidak dapat dianalisis atau direproduksi dengan mudah oleh para pembela di Eropa.

Kesenjangan regulasi ini sangat membuat frustrasi para pembuat kebijakan Uni Eropa. ECB dan Parlemen Eropa mendesak jawaban dan tindakan, tetapi tidak memiliki akses teknologi langsung yang dinikmati oleh anggota konsorsium berbasis AS, mempersulit pengawasan dan penilaian risiko independen . Asosiasi Bank Jerman mengatakan kepada S&P Global Market Intelligence bahwa mereka sedang dalam "dialog berkelanjutan" dengan bank-bank anggotanya, Kementerian Keuangan Federal, otoritas pengawas keuangan BaFin, bank sentral Jerman, serta lembaga-lembaga Eropa dan internasional—tetapi keterlibatan itu masih bersifat reaktif, bukan proaktif .

Anthropic telah berkomitmen untuk melaporkan secara publik dalam waktu 90 hari tentang temuan dari Project Glasswing, sebuah pengungkapan yang sangat dinantikan oleh industri . Sampai saat itu, para regulator Eropa terjebak di antara ancaman operasional yang mendesak dan sebuah alat yang tidak dapat mereka sentuh, meminta bank untuk menambal lebih cepat melawan musuh yang belum sepenuhnya bisa mereka lihat.