ECB ke Bank Zona Euro: ‘Segera Tambal’ karena AI Mythos Anthropic Mendefinisikan Ulang Ancaman Siber

Kemampuan spesifik yang memicu kekhawatiran ada dua. Pertama, deteksi kerentanan oleh Mythos beroperasi pada skala dan kecepatan yang membuat alat keamanan tradisional dan siklus penambalan manual menjadi usang. Ia telah mengidentifikasi ribuan celah di ratusan proyek lebih cepat daripada yang bisa dilakukan oleh tim manusia atau pemindai konvensional mana pun . Kedua, dan yang lebih mengkhawatirkan, model ini menunjukkan kemampuan ofensif dwiguna (dual-use): ia tidak hanya dapat menemukan celah, tetapi juga menghasilkan eksploitasi yang berfungsi untuk celah tersebut, dengan tingkat keberhasilan pada percobaan pertama melebihi 83% menurut beberapa evaluasi .

Kombinasi ini berarti bahwa aktor jahat—baik kelompok yang disponsori negara maupun penjahat siber canggih—secara teoretis dapat mempersenjatai perangkat AI serupa untuk memindai infrastruktur perbankan, mengidentifikasi kerentanan yang belum ditambal, dan meluncurkan serangan sebelum institusi dapat bereaksi. ECB menyimpulkan bahwa jadwal pertahanan perlu diubah dari hitungan minggu atau bulan menjadi jam atau menit .

Segera Tambal: Tidak Ada Akses, Bukan Alasan

Mungkin elemen yang paling tidak biasa dari pesan ECB adalah perlawanan preventifnya terhadap argumen yang ia tahu akan diajukan oleh bank: “Kami tidak memiliki akses ke Mythos, jadi bagaimana kami bisa bertahan melawannya?”

Tanggapan Elderson tegas. “Kurangnya akses bukanlah alasan untuk tidak bertindak. Sebaliknya, itu membuatnya semakin kritis bagi bank untuk maju dan bertindak sekarang,” katanya dalam sebuah wawancara pada 13 Mei . Pada akhir Mei, pesan tersebut telah menajam menjadi arahan operasional: percepat peluncuran tambalan perangkat lunak. Regulator ini menekankan “keseriusan ancaman terhadap sistem keuangan” dan mendesak para pemberi pinjaman untuk mempercepat pekerjaan mengamankan sistem TI mereka, dengan memperlakukan model ini sebagai risiko aktif terlepas dari status akses mereka sendiri .

Eskalasi Keterlibatan ECB: Dari Pertanyaan hingga Panggilan Darurat

Tindakan ECB pada musim semi 2026 mengungkapkan sebuah regulator yang berpacu untuk memahami dan menahan ancaman yang melampaui perangkat pengawasannya yang ada.

Pertengahan April 2026: ECB mengadakan panggilan telepon dengan kepala manajemen risiko (chief risk officers) dari para pemberi pinjaman zona euro untuk menjajaki penilaian mereka tentang risiko dari Mythos . Pada tahap ini, nadanya bersifat ingin tahu—para pengawas mengumpulkan informasi tentang kemungkinan sumber risiko baru.

13 Mei 2026: Sikapnya berubah menjadi desakan publik. Elderson menggunakan wawancara di Buletin Pengawasan ECB untuk mendesak bank-bank agar segera bersiap menghadapi serangan siber berbantuan AI, secara eksplisit menyebut Mythos dan alat serupa .

24–26 Mei 2026: Keterlibatan mencapai puncaknya. ECB memanggil para eksekutif bank zona euro ke rapat darurat pada 26 Mei, sekaligus menyelenggarakan sesi daring yang menarik “lebih dari 300 peserta dari industri, sektor publik, dan asosiasi perwakilan” untuk berbagi pengalaman dan mendiskusikan tantangan bersama .

Urutan ini mengungkapkan perkembangan dari pengumpulan intelijen menjadi tekanan operasional. Pada minggu terakhir bulan Mei, ECB tidak lagi menanyakan apa yang diketahui bank; ia memberi tahu mereka apa yang harus dilakukan.

Project Glasswing dan Asimetri Intelijen

Inti dari krisis ini adalah Project Glasswing, program distribusi terkontrol dari Anthropic. Alih-alih merilis Mythos ke publik, perusahaan memberikan akses ke konsorsium terbatas mitra infrastruktur penting—termasuk bank-bank besar AS seperti JPMorgan Chase dan Bank of America—yang dapat menggunakan model tersebut untuk menemukan dan memperbaiki celah di sistem mereka sendiri .

Bank-bank Eropa sebagian besar dikecualikan. Hal ini menciptakan asimetri informasi yang tajam: institusi AS dapat memeriksa sistem mereka dengan AI keamanan siber paling canggih yang pernah dibuat, sementara pemberi pinjaman Eropa tetap buta terhadap kerentanan yang sama yang dapat diekspos oleh Mythos, dan berpotensi dieksploitasi oleh para penyerang .

Tanggapan ECB adalah meminta bank-bank AS yang memiliki operasi di zona euro untuk secara sukarela berbagi intelijen ancaman dan wawasan mitigasi yang dipelajari melalui Glasswing dengan rekan-rekan Eropa mereka . Ini adalah permintaan yang luar biasa—meminta pesaing komersial untuk menjembatani kesenjangan akses geopolitik melalui kerja sama sukarela.

Negosiasi yang Terhenti dan Frustrasi Regulasi

Kesenjangan akses tetap ada karena negosiasi tingkat tinggi antara UE dan Anthropic secara resmi terhenti pada akhir Mei 2026. Menteri Ekonomi Spanyol, Carlos Cuerpo, mengonfirmasi menjelang pertemuan puncak para kepala keuangan Uni Eropa pada 22 Mei bahwa “sayangnya, hanya ada sedikit kemajuan di bidang ini” . Meskipun ada beberapa pertemuan antara Anthropic dan pejabat Uni Eropa, sumber melaporkan bahwa telah terjadi “tidak ada pembicaraan langsung tentang pemberian akses bagi entitas Eropa ke Claude Mythos,” yang menimbulkan apa yang disebut oleh salah satu media sebagai “ketakutan keamanan siber yang kuat bagi benua ini” .

Posisi Anthropic disengaja. Perusahaan menyatakan bahwa kemampuan ofensif keamanan siber Mythos memerlukan pembatasan rilis publik untuk mencegah penyalahgunaan, dan sejak April 2026 telah mengindikasikan rencana untuk menawarkan akses kepada bank-bank Eropa “segera”. Namun pada akhir Mei, tidak ada kesepakatan konkret yang terwujud .

Yang memperparah frustrasi adalah realitas regulasi. Pasal 92 dari Undang-Undang AI Uni Eropa (EU AI Act), yang memberikan akses kepada Komisi Eropa untuk mengevaluasi model AI berisiko sistemik, telah berlaku sejak Agustus 2025. Namun, kewenangan penegakan wajib—termasuk kemampuan untuk menjatuhkan denda berdasarkan Pasal 101—baru akan aktif pada 2 Agustus 2026 . Ini berarti Kantor AI UE dapat meminta akses tetapi tidak memiliki tuas hukum yang kuat untuk memaksanya, tepatnya selama periode ketika ancaman tampak paling akut.

Elderson mengungkapkan kesulitan yang dihasilkan secara langsung, menyatakan bahwa kurangnya akses UE membuat situasi keamanan siber semakin buruk: bank-bank Eropa tidak dapat menggunakan alat yang justru mengungkap kerentanan mereka, sementara para pesaing AS mereka dapat secara aktif memperkuat pertahanan mereka .

Apa yang Terjadi Selanjutnya

Peringatan ECB pada akhir Mei menandai momen penting dalam persimpangan antara kemampuan AI dan risiko stabilitas keuangan. Dampak langsungnya adalah bank-bank zona euro bergegas mempercepat siklus penambalan, sementara pertanyaan yang lebih luas tetap belum terselesaikan. Akankah Anthropic memberikan akses kepada Eropa sebelum UE memperoleh kewenangan penegakan pada bulan Agustus? Dapatkah berbagi intelijen secara sukarela di antara bank-bank secara berarti menutup kesenjangan tersebut? Dan yang paling mendasar, apakah arsitektur regulasi keuangan—yang dirancang untuk era ancaman secepat manusia—memadai untuk dunia di mana model AI dapat menemukan dan mengeksploitasi kelemahan lebih cepat daripada yang dapat ditambal oleh institusi?

Untuk saat ini, instruksi ECB tidak ambigu: segera tambal, bagikan apa yang Anda ketahui, dan anggaplah ancaman itu aktif. Waktu, dalam penilaian Elderson, terus berjalan.