ЕЦБ требует от банков срочно закрыть уязвимости, найденные ИИ Claude Mythos от Anthropic

Антикризисный план ЕЦБ из трёх пунктов

26 мая 2026 года ЕЦБ созвал специальное совещание с представителями банков для обсуждения киберрисков, выявленных Claude Mythos Preview и аналогичными передовыми ИИ-системами . Встреча выкристаллизовала жёсткий регуляторный подход, построенный на трёх неотложных требованиях.

Латайте дыры быстрее, без отговорок. Заместитель председателя Наблюдательного совета ЕЦБ Франк Элдерсон предупредил банки, что «время не ждёт», и потребовал «значительно ускорить» работу над усилением безопасности, чтобы устранить бреши, на которые указала модель . Он охарактеризовал это как безотлагательную задачу «исправить вскрывшиеся изъяны» .

Делитесь информацией. Поскольку европейские банки практически отрезаны от ограниченного консорциума, тестирующего модель, ЕЦБ обратился к американским коллегам, имеющим доступ, с просьбой делиться знаниями с европейскими партнёрами. Элдерсон назвал ситуацию «прискорбной», но подчеркнул, что «отсутствие доступа к модели — не оправдание для бездействия» .

Отвечайте перед надзором. ЕЦБ использует стандартный надзорный диалог, чтобы системно «прощупывать» банки на предмет готовности к киберугрозам на базе ИИ, собирая данные о подверженности атакам, скорости установки патчей и защитных инструментах . Этот подход зеркально отражает скоординированные глобальные действия регуляторов, хотя ЕЦБ и не выпускал громких предписаний, подобных тем, что прозвучали от Казначейства США .

Срочность подкреплена реальными тестами. Британский Институт безопасности ИИ (AISI) установил, что Mythos Preview успешно проходит 73% экспертных задач Capture the Flag — эталонный рубеж, который ни одна ИИ-модель не могла взять до апреля 2025 года. Mozilla уже выпустила Firefox 150 с 271 патчем для уязвимостей, найденных моделью .

Что на самом деле нашёл Claude Mythos Preview

Уязвимости — не теория. За ограниченный период оценки модель самостоятельно выявила и создала работающие эксплойты для тысяч критических брешей. Среди них — 17-летняя ошибка удалённого выполнения кода в NFS-сервере FreeBSD, дающая неаутентифицированный root-доступ любому атакующему из интернета, и 27-летняя уязвимость отказа в обслуживании в OpenBSD, которая десятилетиями ускользала от аудиторов-людей .

Масштаб — системный, а не привязанный к одному вендору. Затронуты все основные операционные системы и браузеры . Свыше 99% найденных уязвимостей всё ещё не исправлены, оставляя колоссальную поверхность для атаки на унаследованную технологическую инфраструктуру финсектора .

Способности модели выходят далеко за рамки пассивного обнаружения. Она автономно продемонстрировала пути эксплуатации критических изъянов в широко используемом ПО, подтверждая находки рабочими примерами в течение периода оценки . Эксперты по кибербезопасности теперь рассматривают модель как носителя серьёзных вызовов для банковской индустрии и её архаичных технологических систем .

Почему Европа «летит вслепую»

Самая острая проблема для европейских институтов — не само существование уязвимостей, а асимметричный доступ к инструменту, который их нашёл. Anthropic ограничила распространение Claude Mythos Preview через проект Glasswing — закрытый исследовательский предпоказ с приоритетом для оборонительных задач в кибербезопасности, доступный лишь консорциуму преимущественно американских технологических партнёров, включая AWS, Google Cloud и CrowdStrike .

Европейские банки, регуляторы и компании в сфере кибербезопасности по большей части остались за бортом. Им приходится устранять бреши, которые они не могут ни самостоятельно протестировать, ни верифицировать с помощью аналогичного ИИ-инструментария . Это создаёт оборонительную асимметрию: злоумышленники с доступом к модели могут эксплуатировать уязвимости, которые защитники в Европе не в силах легко проанализировать или воспроизвести.

Разрыв в регулировании особенно раздражает европейских политиков. ЕЦБ и Европарламент настойчиво требуют ответов и действий, но лишены прямого технологического доступа, которым обладают участники консорциума из США. Это осложняет надзор и независимую оценку рисков . Ассоциация немецких банков (BdB) в комментарии S&P Global Market Intelligence заявила, что находится в «непрерывном диалоге» с экспертами банков-членов, Федеральным министерством финансов, BaFin, Бундесбанком, а также европейскими и международными институтами, однако это взаимодействие остаётся скорее реактивным, чем проактивным .

Anthropic обязалась в течение 90 дней публично отчитаться о результатах Project Glasswing — отрасль ждёт этого раскрытия с большим вниманием . До тех пор европейские регуляторы находятся меж двух огней: неотложная операционная угроза и инструмент, до которого не дотянуться, — остаётся лишь просить банки латать дыры быстрее в борьбе с противником, которого они пока не могут толком разглядеть.