ECB Triệu Tập Các Ngân Hàng: 'Đồng Hồ Đang Điểm' Sau Khi AI Của Anthropic Phơi Bày Hàng Ngàn Lỗ Hổng Nghiêm Trọng

Phản Ứng Ba Mũi Nhọn của ECB

Vào ngày 26 tháng 5 năm 2026, ECB đã triệu tập một cuộc họp đặc biệt với các ngân hàng để giải quyết các rủi ro an ninh mạng do Claude Mythos Preview và các mô hình AI tiên tiến tương tự gây ra . Cuộc họp đã kết tinh một cách tiếp cận quản lý dựa trên ba yêu cầu cấp bách.

Vá lỗi nhanh hơn, không viện lý do. Phó Chủ tịch ECB Frank Elderson đã cảnh báo các ngân hàng rằng "đồng hồ đang điểm" và yêu cầu họ phải "tăng tốc đáng kể" các nỗ lực bảo mật để sửa các lỗ hổng mà mô hình đã phát hiện . Ông mô tả đây là công việc khẩn cấp để "vá những lỗ hổng đã bị phơi bày" .

Chia sẻ những gì mình biết. Vì các ngân hàng châu Âu phần lớn bị loại khỏi nhóm thử nghiệm hạn chế của mô hình, ECB đã đề nghị các ngân hàng Mỹ có quyền truy cập chia sẻ thông tin chi tiết với các đồng nghiệp châu Âu. Ông Elderson thừa nhận tình hình này là "điều không may" nhưng nhấn mạnh rằng "thiếu quyền truy cập vào mô hình không phải là cái cớ cho sự thụ động" .

Trả lời cơ quan giám sát. ECB đang sử dụng kênh đối thoại giám sát thường kỳ của mình để chất vấn các ngân hàng một cách có hệ thống về sự chuẩn bị của họ đối với các mối đe dọa mạng do AI điều khiển, thu thập thông tin về mức độ phơi nhiễm, nhịp độ vá lỗi và các công cụ phòng thủ . Cách tiếp cận này phản ánh hành động quản lý phối hợp toàn cầu, mặc dù ECB chưa đưa ra lệnh triệu tập cấp cao nào như Bộ Tài chính Mỹ .

Sự khẩn cấp này được củng cố bởi bằng chứng thực tế. Viện An ninh AI của Anh (AISI) đã phát hiện Claude Mythos Preview vượt qua 73% các thử thách "Cướp cờ" (Capture the Flag) cấp chuyên gia, một tiêu chuẩn mà không mô hình AI nào có thể đạt được trước tháng 4 năm 2025. Mozilla đã phát hành trình duyệt Firefox 150 với 271 bản vá cho các lỗ hổng do mô hình này tìm thấy .

Claude Mythos Preview Thực Sự Đã Tìm Thấy Những Gì

Các lỗ hổng không chỉ là lý thuyết. Trong giai đoạn đánh giá có kiểm soát, mô hình đã tự động xác định và tạo ra các mã khai thác hoạt động được cho hàng ngàn lỗ hổng nghiêm trọng, bao gồm một lỗi thực thi mã từ xa đã tồn tại 17 năm trong máy chủ NFS của FreeBSD, cho phép kẻ tấn công có kết nối internet truy cập root mà không cần xác thực, và một lỗ hổng gây sập hệ thống đã tồn tại 27 năm trong OpenBSD mà các kiểm toán viên con người đã bỏ sót hàng thập kỷ .

Phạm vi là mang tính hệ thống chứ không giới hạn ở một nhà cung cấp nào. Mọi hệ điều hành và trình duyệt web lớn đều bị ảnh hưởng . Hơn 99% các lỗ hổng được phát hiện vẫn chưa được vá, khiến một bề mặt tấn công rộng lớn bị phơi bày trên khắp cơ sở hạ tầng công nghệ cũ của ngành tài chính .

Khả năng khai thác của mô hình vượt xa việc phát hiện thụ động. Nó đã tự động chứng minh các con đường khai thác cho các lỗ hổng nghiêm trọng trong các phần mềm được triển khai rộng rãi, xác nhận các phát hiện bằng các bằng chứng khái niệm hoạt động trong giai đoạn đánh giá . Các chuyên gia an ninh mạng hiện coi mô hình này là một thách thức đáng kể đối với ngành ngân hàng và các hệ thống công nghệ cũ của nó .

Tại Sao Châu Âu Đang Trong Tình Trạng "Mù Mờ"

Thách thức lớn nhất mà các tổ chức châu Âu phải đối mặt không chỉ là sự tồn tại của các lỗ hổng, mà là sự bất đối xứng trong việc tiếp cận chính công cụ đã tìm ra chúng. Anthropic đã cấu trúc việc phát hành Claude Mythos Preview thông qua Dự án Glasswing, một bản xem trước nghiên cứu có kiểm soát, ưu tiên quyền truy cập cho các mục đích an ninh mạng phòng thủ — nhưng chỉ giới hạn cho một nhóm các đối tác công nghệ chủ yếu của Mỹ, bao gồm AWS, Google Cloud và CrowdStrike .

Các ngân hàng, cơ quan quản lý và công ty an ninh mạng châu Âu phần lớn bị khóa ngoài. Họ buộc phải khắc phục những lỗ hổng mà họ không thể tự mình thăm dò hoặc xác minh một cách độc lập bằng chính khả năng AI đó . Điều này tạo ra một sự bất đối xứng phòng thủ, nơi những kẻ tấn công có quyền truy cập có thể khai thác các lỗ hổng mà những người bảo vệ ở châu Âu khó có thể phân tích hoặc tái tạo.

Khoảng cách quản lý này đặc biệt gây khó chịu cho các nhà hoạch định chính sách EU. ECB và Nghị viện Châu Âu đang thúc ép để có câu trả lời và hành động nhưng lại thiếu quyền truy cập công nghệ trực tiếp như các thành viên của tập đoàn có trụ sở tại Mỹ, điều này làm phức tạp hóa việc giám sát và đánh giá rủi ro độc lập . Hiệp hội Ngân hàng Đức nói với S&P Global Market Intelligence rằng họ đang trong "đối thoại liên tục" với các ngân hàng thành viên, Bộ Tài chính Liên bang, BaFin, ngân hàng trung ương Đức, và các tổ chức châu Âu và quốc tế — nhưng sự tham gia đó vẫn chỉ mang tính phản ứng chứ không phải chủ động .

Anthropic đã cam kết sẽ báo cáo công khai trong vòng 90 ngày về các phát hiện từ Dự án Glasswing, một tiết lộ mà toàn ngành đang theo dõi chặt chẽ . Cho đến lúc đó, các cơ quan quản lý châu Âu đang mắc kẹt giữa một mối đe dọa hoạt động khẩn cấp và một công cụ mà họ không thể chạm tới, yêu cầu các ngân hàng vá lỗi nhanh hơn trước một kẻ thù mà họ chưa thể nhìn thấy đầy đủ.