ЕЦБ — банкам еврозоны: «Ставьте патчи немедленно» — как ИИ Mythos от Anthropic меняет правила киберугроз

Тревогу вызвали два конкретных аспекта. Во-первых, Mythos выявлял уязвимости в таких масштабах и с такой скоростью, что делал традиционные инструменты безопасности и ручные циклы исправлений устаревшими. Модель обнаружила тысячи изъянов в сотнях проектов быстрее, чем любая команда специалистов или обычный сканер могли бы это сделать . Во-вторых, что еще более тревожно, модель продемонстрировала способность к наступательным действиям двойного назначения: она не только находила бреши, но и генерировала работающие эксплойты для них, причем, по некоторым оценкам, с первого раза это удавалось более чем в 83% случаев .

Такое сочетание означало, что злоумышленники — будь то группы, поддерживаемые государством, или высокоорганизованные преступники — теоретически могли бы использовать аналогичные ИИ-инструменты для сканирования банковской инфраструктуры, выявления незакрытых уязвимостей и проведения атак прежде, чем банки успеют среагировать. ЕЦБ пришел к выводу, что временной горизонт для построения защиты должен сократиться с недель или месяцев до часов или даже минут .

«Ставьте патчи»: отсутствие доступа — не оправдание

Едва ли не самым необычным элементом обращения ЕЦБ стал упреждающий ответ на аргумент, который, как там знали, выдвинут банки: «У нас нет доступа к Mythos, так как же мы можем от него защититься?»

Реакция Элдерсона была однозначной. «Отсутствие доступа не может служить оправданием для бездействия. Напротив, это делает еще более критически важным, чтобы банки активизировались и действовали сейчас», — заявил он в интервью 13 мая . К концу мая это послание трансформировалось в оперативную директиву: ускорить развертывание исправлений для ПО. Регулятор подчеркнул «серьезность угрозы для финансовой системы» и призвал банки наращивать темпы защиты своих ИТ-систем, рассматривая модель как активный риск независимо от статуса доступа к ней .

Эскалация действий ЕЦБ: от опросов до экстренного вызова

Действия ЕЦБ весной 2026 года показывают регулятора, который пытается понять и взять под контроль угрозу, опережающую его существующий надзорный инструментарий.

Середина апреля 2026 года: ЕЦБ организовал телефонную конференцию с директорами по рискам банков еврозоны, чтобы выяснить их оценку рисков, исходящих от Mythos . На этом этапе тон был скорее исследовательским — надзорные органы собирали информацию о новом возможном источнике риска.

13 мая 2026 года: Позиция сменилась на публичную срочность. Элдерсон в интервью для информационного бюллетеня ЕЦБ (Supervision Newsletter) призвал банки незамедлительно готовиться к кибератакам с использованием ИИ, прямо упомянув Mythos и аналогичные инструменты .

24–26 мая 2026 года: Контакты достигли пика. ЕЦБ вызвал руководителей банков еврозоны на экстренное совещание 26 мая, одновременно проведя онлайн-сессию, собравшую «более 300 участников из промышленности, государственного сектора и представительных ассоциаций» для обмена опытом и обсуждения общих проблем .

Эта последовательность отражает переход от сбора разведданных к операционному давлению. В последнюю неделю мая ЕЦБ уже не спрашивал банки, что им известно; он прямо говорил им, что делать.

Project Glasswing и асимметрия информации

Центральное место в кризисе занимает проект Project Glasswing — контролируемая программа распространения от Anthropic. Вместо публичного выпуска Mythos компания предоставила доступ к ней ограниченному консорциуму партнеров из критической инфраструктуры — включая крупные американские банки, такие как JPMorgan Chase и Bank of America, — которые могли использовать модель для поиска и исправления уязвимостей в собственных системах .

Европейские банки по большей части остались за бортом. Это создало резкую информационную асимметрию: американские организации могли зондировать свои системы самым совершенным ИИ для кибербезопасности из когда-либо созданных, в то время как европейские банки оставались слепы в отношении тех же уязвимостей, которые Mythos мог выявить и, в потенциале, которые могли бы использовать против них злоумышленники .

Ответом ЕЦБ стала просьба к американским банкам, работающим в еврозоне, добровольно делиться со своими европейскими коллегами оперативной информацией об угрозах и знаниями о смягчении последствий, полученными через Project Glasswing . Это был экстраординарный запрос — по сути, призыв к коммерческим конкурентам с помощью добровольного сотрудничества преодолеть геополитический разрыв в доступе.

Переговоры зашли в тупик, а регулятор разочарован

Разрыв в доступе сохранялся, потому что к концу мая 2026 года переговоры на высоком уровне между ЕС и Anthropic официально зашли в тупик. Министр экономики Испании Карлос Куэрпо перед саммитом министров финансов ЕС 22 мая подтвердил: «К сожалению, прогресс в этой области был ограниченным» . Несмотря на несколько встреч между Anthropic и представителями ЕС, источники сообщали об отсутствии «прямых переговоров о предоставлении европейским организациям доступа к Claude Mythos», что, как выразилось одно издание, породило «серьезные опасения за кибербезопасность континента» .

Позиция Anthropic была осознанной. Компания заявляла, что наступательные возможности Mythos в сфере кибербезопасности требуют ограничения публичного доступа для предотвращения злоупотреблений, и еще в апреле 2026 года давала понять, что намерена «вскоре» предоставить доступ европейским банкам. Однако к концу мая никакой конкретной договоренности достигнуто не было .

Ситуацию усугубляла регуляторная реальность: Статья 92 Закона ЕС об ИИ, дающая Европейской комиссии право доступа к ИИ-моделям с системным риском для проведения оценки, действовала с августа 2025 года. Однако полномочия по принудительному исполнению, включая возможность налагать штрафы согласно Статье 101, начнут действовать только 2 августа 2026 года . Это означало, что Офис ЕС по ИИ мог попросить о доступе, но не имел твердых правовых рычагов, чтобы его добиться, именно в тот период, когда угроза выглядела наиболее острой.

Элдерсон прямо высказался о сложившейся дилемме, предположив, что отсутствие доступа у ЕС только ухудшает ситуацию с кибербезопасностью: европейские банки не могут использовать сам инструмент, способный выявить их уязвимости, в то время как их американские конкуренты активно укрепляют свою защиту .

Что дальше

Предупреждения ЕЦБ, сделанные в конце мая, знаменуют собой поворотный момент на стыке возможностей ИИ и рисков для финансовой стабильности. В ближайшие дни после заявлений банки еврозоны начали в спешке ускорять циклы установки обновлений, в то время как более широкие вопросы остаются нерешенными. Предоставит ли Anthropic европейцам доступ до того, как ЕС получит полномочия в августе? Сможет ли добровольный обмен разведданными между банками существенно сократить разрыв? И, что самое фундаментальное, адекватна ли архитектура финансового регулирования, созданная для эпохи угроз «человеческой» скорости, миру, где ИИ-модели способны находить и эксплуатировать уязвимости быстрее, чем организации успевают их исправить?

На данный момент инструкция ЕЦБ однозначна: немедленно устанавливайте патчи, делитесь тем, что знаете, и исходите из того, что угроза реальна. Часики, по оценке Элдерсона, уже тикают.