ECB สั่งแบงก์ยูโรโซน ‘อุดช่องโหว่เดี๋ยวนี้’ หลัง Mythos AI ของ Anthropic ปฏิวัติวงการภัยไซเบอร์

ความสามารถเฉพาะที่ก่อให้เกิดความตื่นตระหนกมีอยู่สองประการ ประการแรก การตรวจจับช่องโหว่ของ Mythos ทำงานในระดับและความเร็วที่ทำให้เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมและวงจรการอุดช่องโหว่ด้วยมือนั้นล้าสมัย มันระบุจุดบกพร่องนับพันในหลายร้อยโครงการได้เร็วกว่าทีมมนุษย์หรือสแกนเนอร์ทั่วไปใดๆ ประการที่สองและน่ากังวลกว่า ตัวแบบได้แสดงให้เห็นถึงความสามารถในการโจมตีแบบสองทาง มันไม่เพียงแต่หาจุดบกพร่องได้ แต่ยังสร้าง เอ็กซ์พลอยต์ (โค้ดสำหรับโจมตีช่องโหว่) ที่ใช้งานได้จริง โดยมีอัตราความสำเร็จในการลองครั้งแรกเกิน 83% จากการประเมินบางส่วน

การผสมผสานนี้หมายความว่า ผู้ไม่หวังดี ไม่ว่าจะเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐหรืออาชญากรที่มีความซับซ้อน อาจสามารถใช้เครื่องมือ AI ที่คล้ายคลึงกันเพื่อสแกนโครงสร้างพื้นฐานของธนาคาร ระบุช่องโหว่ที่ยังไม่ได้แก้ไข และเปิดฉากโจมตีก่อนที่สถาบันจะทันได้ตอบโต้ ECB สรุปว่าระยะเวลาในการป้องกันจำเป็นต้องเปลี่ยนจากสัปดาห์หรือเดือน เป็นชั่วโมงหรือนาที

อุดช่องโหว่เดี๋ยวนี้: ไม่มีสิทธิ์เข้าถึง ก็ไม่ใช่ข้ออ้าง

บางทีองค์ประกอบที่ผิดปกติที่สุดของข้อความของ ECB คือการโต้แย้งล่วงหน้าต่อข้ออ้างที่พวกเขารู้ว่าบรรดาธนาคารจะใช้ นั่นคือ "เราไม่มีสิทธิ์เข้าถึง Mythos แล้วเราจะป้องกันตัวจากมันได้อย่างไร"

คำตอบของเอลเดอร์สันนั้นชัดเจนอย่างไม่มีข้อกังขา "การไม่มีสิทธิ์เข้าถึงไม่ใช่ข้ออ้างที่จะไม่ลงมือทำ ในทางตรงกันข้าม มันยิ่งทำให้เป็นเรื่องสำคัญยิ่งกว่า ที่ธนาคารต้องก้าวออกมาและลงมือทำตอนนี้" เขากล่าวในการให้สัมภาษณ์เมื่อวันที่ 13 พฤษภาคม ภายในปลายเดือนพฤษภาคม ข้อความดังกล่าวได้ถูกทำให้คมชัดขึ้นเป็นคำสั่งเชิงปฏิบัติการ นั่นคือ เร่งการเปิดตัวแพตช์ซอฟต์แวร์ หน่วยงานกำกับดูแลย้ำถึง "ความร้ายแรงของภัยคุกคามต่อระบบการเงิน" และกดดันให้ผู้ให้กู้เร่งทำงานเพื่อรักษาความปลอดภัยระบบไอทีของตน โดยให้ถือว่าตัวแบบนี้เป็นความเสี่ยงที่กำลังเกิดขึ้นจริง โดยไม่คำนึงถึงสถานะการเข้าถึงของพวกเขาเอง

การยกระดับการมีส่วนร่วมของ ECB: จากการสอบถาม สู่การเรียกประชุมฉุกเฉิน

การดำเนินการของ ECB ในฤดูใบไม้ผลิปี 2026 เผยให้เห็นหน่วยงานกำกับดูแลที่กำลังเร่งทำความเข้าใจและควบคุมภัยคุกคามที่เหนือกว่าเครื่องมือกำกับดูแลที่มีอยู่

• กลางเดือนเมษายน 2026: ECB จัดการประชุมทางโทรศัพท์กับประธานเจ้าหน้าที่บริหารความเสี่ยง (CRO) ของผู้ให้กู้ในยูโรโซน เพื่อสำรวจการประเมินความเสี่ยงจาก Mythos ในขั้นตอนนี้ น้ำเสียงเป็นการสอบถามข้อมูล ผู้กำกับดูแลกำลังรวบรวมข้อมูลเกี่ยวกับแหล่งที่มาของความเสี่ยงใหม่ที่อาจเกิดขึ้น
• 13 พฤษภาคม 2026: ท่าทีเปลี่ยนไปเป็นความเร่งด่วนต่อสาธารณะ เอลเดอร์สันใช้การให้สัมภาษณ์ในจดหมายข่าว ECB Supervision Newsletter เพื่อเรียกร้องให้ธนาคารเตรียมพร้อมรับมือกับการโจมตีทางไซเบอร์ที่ใช้ AI อย่างรวดเร็ว โดยระบุชื่อ Mythos และเครื่องมือที่คล้ายคลึงกันอย่างชัดเจน
• 24–26 พฤษภาคม 2026: การมีส่วนร่วมถึงจุดสูงสุด ECB เรียกตัวผู้บริหารธนาคารในยูโรโซนเข้าร่วมการประชุมฉุกเฉินในวันที่ 26 พฤษภาคม พร้อมกันนี้ยังเป็นเจ้าภาพจัดการประชุมออนไลน์ที่มี "ผู้เข้าร่วมมากกว่า 300 คนจากภาคอุตสาหกรรม ภาครัฐ และสมาคมตัวแทน" เพื่อแบ่งปันประสบการณ์และหารือถึงความท้าทายร่วมกัน

ลำดับเหตุการณ์เผยให้เห็นการเปลี่ยนจากการรวบรวมข่าวกรอง ไปสู่การกดดันเชิงปฏิบัติการ ในสัปดาห์สุดท้ายของเดือนพฤษภาคม ECB ไม่ได้ถามว่าธนาคารรู้อะไรอีกต่อไปแล้ว แต่กำลังบอกพวกเขาว่าต้องทำอะไร

โปรเจกต์กลาสวิง และความไม่สมดุลของข้อมูล

หัวใจของวิกฤตนี้คือ โปรเจกต์กลาสวิง (Project Glasswing) โครงการแจกจ่ายแบบควบคุมของ Anthropic แทนที่จะปล่อย Mythos สู่สาธารณะ บริษัทได้ให้สิทธิ์เข้าถึงแก่กลุ่มพันธมิตรโครงสร้างพื้นฐานที่สำคัญแบบจำกัด ซึ่งรวมถึงธนาคารยักษ์ใหญ่ของสหรัฐฯ อย่าง JPMorgan Chase และ Bank of America ผู้ที่สามารถใช้ตัวแบบเพื่อค้นหาและแก้ไขจุดบกพร่องในระบบของตนเอง

ธนาคารในยุโรปส่วนใหญ่ถูกกันออกไป สิ่งนี้สร้างความไม่สมดุลของข้อมูลอย่างชัดเจน สถาบันในสหรัฐฯ สามารถตรวจสอบระบบของตนด้วย AI ด้านความปลอดภัยทางไซเบอร์ที่ก้าวหน้าที่สุดเท่าที่เคยสร้างมา ในขณะที่ผู้ให้กู้ในยุโรปยังคงมองไม่เห็นช่องโหว่แบบเดียวกับที่ Mythos สามารถเปิดเผย และที่อาจเป็นไปได้ ฝ่ายตรงข้ามก็สามารถใช้ประโยชน์ได้

การตอบสนองของ ECB คือการขอให้ธนาคารสหรัฐฯ ที่มีปฏิบัติการในยูโรโซนแบ่งปันข่าวกรองภัยคุกคามและข้อมูลเชิงลึกในการบรรเทาผลกระทบที่ได้รับจากกลาสวิงแก่เพื่อนร่วมวงการในยุโรปโดยสมัครใจ มันเป็นคำขอที่ไม่ธรรมดา เป็นการขอให้คู่แข่งทางการค้าช่วยเชื่อมช่องว่างการเข้าถึงทางภูมิรัฐศาสตร์ผ่านความร่วมมือด้วยความสมัครใจ

การเจรจาที่หยุดชะงักและความหงุดหงิดด้านกฎระเบียบ

ช่องว่างการเข้าถึงยังคงมีอยู่เนื่องจากการเจรจาระดับสูงระหว่าง EU และ Anthropic หยุดชะงักอย่างเป็นทางการ ในช่วงปลายเดือนพฤษภาคม 2026 การ์โลส กูเอร์โป รัฐมนตรีเศรษฐกิจสเปน ยืนยันก่อนการประชุมสุดยอดรัฐมนตรีคลัง EU ในวันที่ 22 พฤษภาคม ว่า "น่าเสียดายที่มีความคืบหน้าในด้านนี้อย่างจำกัด" แม้จะมีการประชุมหลายครั้งระหว่าง Anthropic และเจ้าหน้าที่ EU แต่แหล่งข่าวรายงานว่า "ไม่มีการเจรจาโดยตรงเกี่ยวกับการให้สิทธิ์เข้าถึง Claude Mythos แก่หน่วยงานในยุโรป" ซึ่งเป็นสิ่งที่สำนักข่าวหนึ่งเรียกว่า "ความหวาดกลัวด้านความปลอดภัยทางไซเบอร์ที่รุนแรงสำหรับทวีป"

จุดยืนของ Anthropic นั้นเป็นการจงใจ บริษัทระบุว่าความสามารถในการโจมตีทางไซเบอร์ของ Mythos นั้นสมควรได้รับการจำกัดการเผยแพร่สู่สาธารณะเพื่อป้องกันการใช้ในทางที่ผิด และได้แสดงแผนที่จะเสนอการเข้าถึงแก่ธนาคารในยุโรป "ในไม่ช้า" ตั้งแต่เดือนเมษายน 2026 แต่จนถึงปลายเดือนพฤษภาคม ก็ยังไม่มีข้อตกลงที่เป็นรูปธรรมเกิดขึ้น

สิ่งที่เพิ่มความหงุดหงิดคือความเป็นจริงด้านกฎระเบียบ มาตรา 92 ของ EU AI Act ซึ่งให้สิทธิ์คณะกรรมาธิการยุโรปในการเข้าถึงโมเดล AI ที่มีความเสี่ยงเชิงระบบเพื่อการประเมิน มีผลบังคับใช้ตั้งแต่เดือนสิงหาคม 2025 อย่างไรก็ตาม อำนาจการบังคับใช้ภาคบังคับ รวมถึงความสามารถในการปรับตามมาตรา 101 จะยังไม่เปิดใช้งานจนกว่าจะถึง 2 สิงหาคม 2026 นั่นหมายความว่า EU AI Office สามารถขอเข้าถึงได้ แต่ไม่มีเครื่องมือทางกฎหมายที่แข็งกร้าวพอที่จะบังคับ ณ ช่วงเวลาที่ภัยคุกคามดูรุนแรงที่สุด

เอลเดอร์สันแสดงออกถึงสถานการณ์ที่กลืนไม่เข้าคายไม่ออกนี้โดยตรง โดยชี้ว่าการที่ EU ไม่มีสิทธิ์เข้าถึงยิ่งทำให้สถานการณ์ด้านความปลอดภัยทางไซเบอร์เลวร้ายลง ธนาคารในยุโรปไม่สามารถใช้เครื่องมือที่จะเปิดเผยช่องโหว่ของตนเอง ในขณะที่คู่แข่งในสหรัฐฯ สามารถเสริมสร้างการป้องกันของตนได้อย่างแข็งขัน

จะเกิดอะไรขึ้นต่อไป

คำเตือนในช่วงปลายเดือนพฤษภาคมของ ECB นับเป็นช่วงเวลาสำคัญที่จุดตัดระหว่างความสามารถของ AI และความเสี่ยงต่อเสถียรภาพทางการเงิน ผลพวงที่เกิดขึ้นในทันทีคือธนาคารในยูโรโซนต่างเร่งดำเนินการตามวงจรแพตช์ ในขณะที่คำถามที่ใหญ่กว่ายังคงไม่ได้รับการแก้ไข Anthropic จะให้สิทธิ์เข้าถึงแก่ยุโรปก่อนที่ EU จะได้รับอำนาจบังคับใช้ในเดือนสิงหาคมหรือไม่? การแบ่งปันข่าวกรองโดยสมัครใจในหมู่ธนาคารสามารถปิดช่องว่างได้อย่างมีความหมายหรือไม่? และที่สำคัญที่สุด สถาปัตยกรรมการกำกับดูแลทางการเงินที่ถูกออกแบบมาสำหรับยุคของภัยคุกคามที่ความเร็วระดับมนุษย์ เพียงพอสำหรับโลกที่โมเดล AI สามารถค้นหาและใช้ประโยชน์จากจุดบกพร่องได้เร็วกว่าที่สถาบันจะอุดช่องโหว่เหล่านั้นได้หรือไม่?

สำหรับตอนนี้ คำสั่งของ ECB ไม่มีอะไรคลุมเครือ: อุดช่องโหว่เดี๋ยวนี้ แบ่งปันสิ่งที่คุณรู้ และให้ถือว่าภัยคุกคามกำลังเกิดขึ้นจริง นาฬิกากำลังเดินอยู่ ตามการประเมินของเอลเดอร์สัน