ECB Ra Lệnh Khẩn Cho Ngân Hàng Eurozone: ‘Vá Lỗi Ngay’ Khi AI Mythos Của Anthropic Định Nghĩa Lại Chiến Tranh Mạng

Các khả năng cụ thể gây ra sự báo động bao gồm hai yếu tố. Thứ nhất, khả năng phát hiện lỗ hổng của Mythos diễn ra ở quy mô và tốc độ khiến các công cụ bảo mật truyền thống và chu kỳ vá lỗi thủ công trở nên lỗi thời. Nó đã xác định hàng nghìn lỗ hổng trên hàng trăm dự án nhanh hơn bất kỳ đội kỹ thuật nào hay máy quét thông thường . Thứ hai, và đáng lo ngại hơn, mô hình này thể hiện khả năng tấn công lưỡng dụng: nó không chỉ tìm ra lỗ hổng mà còn tạo ra mã khai thác hoạt động được, với tỷ lệ thành công ngay lần thử đầu tiên vượt quá 83% theo một số đánh giá .

Sự kết hợp này có nghĩa là các tác nhân độc hại - dù là các nhóm được nhà nước bảo trợ hay tội phạm tinh vi - về mặt lý thuyết có thể vũ khí hóa các công cụ AI tương tự để quét cơ sở hạ tầng ngân hàng, xác định các lỗ hổng chưa được vá và phát động tấn công trước khi các tổ chức kịp phản ứng. ECB kết luận rằng dòng thời gian phòng thủ cần phải chuyển từ hàng tuần, hàng tháng sang hàng giờ hoặc hàng phút .

Vá Lỗi Ngay: Không Có Quyền Truy Cập Không Phải Là Lý Do

Có lẽ yếu tố bất thường nhất trong thông điệp của ECB là sự phản bác trước một lập luận mà họ biết các ngân hàng sẽ đưa ra: "Chúng tôi không có quyền truy cập vào Mythos, vậy làm sao chúng tôi có thể phòng thủ chống lại nó?"

Phản hồi của ông Elderson rất rõ ràng. "Thiếu quyền truy cập không phải là cái cớ cho sự không hành động. Ngược lại, nó càng khiến việc các ngân hàng phải vào cuộc và hành động ngay bây giờ trở nên quan trọng hơn," ông nói trong một cuộc phỏng vấn ngày 13 tháng 5 . Đến cuối tháng 5, thông điệp đã được mài sắc thành một chỉ thị vận hành: đẩy nhanh việc triển khai các bản vá phần mềm. Cơ quan quản lý nhấn mạnh "mức độ nghiêm trọng của mối đe dọa đối với hệ thống tài chính" và thúc ép các tổ chức cho vay tăng tốc bảo vệ hệ thống CNTT của họ, coi mô hình này là một rủi ro chủ động bất kể tình trạng truy cập của chính họ .

Sự Tham Gia Leo Thang của ECB: Từ Tham Vấn Đến Triệu Tập Khẩn Cấp

Các hành động của ECB vào mùa xuân năm 2026 cho thấy một cơ quan quản lý đang chạy đua để hiểu và ngăn chặn một mối đe dọa vượt xa bộ công cụ giám sát hiện có của mình.

Giữa tháng 4 năm 2026: ECB đã triệu tập một cuộc gọi với các giám đốc rủi ro (CRO) của các ngân hàng trong khu vực đồng Euro để thăm dò đánh giá của họ về các rủi ro từ Mythos . Ở giai đoạn này, giọng điệu là thăm dò - các giám sát viên đang thu thập thông tin về một nguồn rủi ro mới tiềm ẩn.

Ngày 13 tháng 5 năm 2026: Lập trường chuyển sang khẩn cấp công khai. Ông Elderson đã sử dụng một cuộc phỏng vấn trên Bản tin Giám sát của ECB để kêu gọi các ngân hàng nhanh chóng chuẩn bị cho các cuộc tấn công mạng có sự trợ giúp của AI, nêu đích danh Mythos và các công cụ tương tự .

Ngày 24–26 tháng 5 năm 2026: Sự tham gia đạt đến đỉnh điểm. ECB đã triệu tập các giám đốc điều hành ngân hàng Eurozone đến một cuộc họp khẩn cấp vào ngày 26 tháng 5, đồng thời tổ chức một phiên họp trực tuyến thu hút "hơn 300 người tham gia từ ngành công nghiệp, khu vực công và các hiệp hội đại diện" để chia sẻ kinh nghiệm và thảo luận về những thách thức chung .

Chuỗi sự kiện cho thấy một quá trình từ thu thập thông tin tình báo đến gây áp lực vận hành. Vào tuần cuối cùng của tháng 5, ECB không còn hỏi các ngân hàng biết gì nữa; họ đang nói cho họ biết phải làm gì.

Dự Án Glasswing và Sự Bất Cân Xứng Thông Tin

Trọng tâm của cuộc khủng hoảng là Dự án Glasswing, chương trình phân phối có kiểm soát của Anthropic. Thay vì phát hành Mythos công khai, công ty đã cấp quyền truy cập cho một tập đoàn hạn chế gồm các đối tác cơ sở hạ tầng quan trọng - bao gồm các ngân hàng lớn của Mỹ như JPMorgan Chase và Bank of America - những người có thể sử dụng mô hình để tìm và sửa lỗ hổng trong hệ thống của chính họ .

Các ngân hàng châu Âu phần lớn bị loại trừ. Điều này tạo ra một sự bất cân xứng thông tin rõ rệt: các tổ chức của Mỹ có thể thăm dò hệ thống của họ bằng AI an ninh mạng tiên tiến nhất từng được xây dựng, trong khi các tổ chức cho vay châu Âu vẫn mù tịt trước những lỗ hổng tương tự mà Mythos có thể phát hiện và, tiềm tàng, kẻ địch có thể khai thác .

Phản ứng của ECB là yêu cầu các ngân hàng Mỹ có hoạt động tại khu vực đồng Euro tự nguyện chia sẻ thông tin tình báo về mối đe dọa và các giải pháp giảm thiểu học được thông qua Glasswing với các đồng nghiệp châu Âu của họ . Đó là một yêu cầu phi thường - yêu cầu các đối thủ cạnh tranh thương mại thu hẹp khoảng cách địa chính trị thông qua hợp tác tự nguyện.

Đàm Phán Đình Trệ và Sự Thất Vọng Về Quy Định

Khoảng cách tiếp cận vẫn tồn tại vì các cuộc đàm phán cấp cao giữa EU và Anthropic đã chính thức đình trệ vào cuối tháng 5 năm 2026. Bộ trưởng Kinh tế Tây Ban Nha Carlos Cuerpo xác nhận trước thềm hội nghị thượng đỉnh các bộ trưởng tài chính EU vào ngày 22 tháng 5 rằng "thật không may, đã có rất ít tiến triển trong lĩnh vực này" . Mặc dù đã có một số cuộc gặp giữa Anthropic và các quan chức EU, các nguồn tin cho biết "không có cuộc đàm phán trực tiếp nào về việc trao quyền truy cập Claude Mythos cho các thực thể châu Âu," điều mà một tờ báo gọi là "nỗi lo sợ an ninh mạng mạnh mẽ cho lục địa già" .

Lập trường của Anthropic là có chủ ý. Công ty tuyên bố rằng khả năng tấn công mạng của Mythos đảm bảo việc hạn chế phát hành công khai để ngăn chặn lạm dụng, và họ đã chỉ ra kế hoạch cung cấp cho các ngân hàng châu Âu quyền truy cập "sớm" vào thời điểm tháng 4 năm 2026. Nhưng đến cuối tháng 5, không có thỏa thuận cụ thể nào được hiện thực hóa .

Làm tăng thêm sự thất vọng là thực tế pháp lý. Điều 92 của Đạo luật AI của EU, trong đó trao cho Ủy ban Châu Âu quyền truy cập vào các mô hình AI có rủi ro hệ thống để đánh giá, đã có hiệu lực từ tháng 8 năm 2025. Tuy nhiên, quyền hạn thực thi bắt buộc - bao gồm khả năng áp dụng tiền phạt theo Điều 101 - sẽ không được kích hoạt cho đến ngày 2 tháng 8 năm 2026 . Điều này có nghĩa là Văn phòng AI của EU có thể yêu cầu truy cập nhưng thiếu một đòn bẩy pháp lý cứng rắn để ép buộc trong chính giai đoạn mà mối đe dọa dường như là cấp bách nhất.

Ông Elderson đã bày tỏ tình thế tiến thoái lưỡng nan này một cách trực tiếp, cho rằng việc EU thiếu quyền truy cập khiến tình hình an ninh mạng thậm chí còn tồi tệ hơn: các ngân hàng châu Âu không thể sử dụng chính công cụ tiết lộ lỗ hổng của họ, trong khi các đối thủ Mỹ lại có thể tích cực củng cố phòng thủ .

Điều Gì Sẽ Xảy Ra Tiếp Theo

Các cảnh báo vào cuối tháng 5 của ECB đánh dấu một bước ngoặt trong sự giao thoa giữa năng lực AI và rủi ro ổn định tài chính. Hậu quả ngay lập tức là các ngân hàng Eurozone đang chạy đua để tăng tốc các chu kỳ vá lỗi, trong khi những câu hỏi lớn hơn vẫn chưa được giải quyết. Liệu Anthropic có cấp quyền truy cập cho châu Âu trước khi EU có được quyền hạn thực thi vào tháng 8 không? Liệu việc chia sẻ thông tin tình báo tự nguyện giữa các ngân hàng có thể thu hẹp khoảng cách một cách có ý nghĩa không? Và cơ bản nhất, liệu kiến trúc quản lý tài chính – được thiết kế cho kỷ nguyên của các mối đe dọa ở tốc độ con người – có đủ khả năng đáp ứng cho một thế giới nơi các mô hình AI có thể tìm và khai thác lỗ hổng nhanh hơn khả năng vá lỗi của các tổ chức không?

Còn hiện tại, chỉ thị của ECB là rất rõ ràng: hãy vá lỗi ngay bây giờ, chia sẻ những gì bạn biết, và mặc định rằng mối đe dọa đang hoạt động. Đồng hồ, theo đánh giá của ông Elderson, đang điểm từng giây.