Business Standard 报道称,IMF(国际货币基金组织)曾提醒金融机构注意 Claude Mythos 这类高级 AI 工具,因为它可能加速发现并利用软件弱点。 这意味着从漏洞存在到形成可执行入侵路径之间的窗口,可能变得更短。
最严重的担忧往往不是某个完美的单点漏洞,而是攻击链:把云权限配置错误、暴露的 API、过期组件、泄露凭证或薄弱的供应商访问拼接成一条完整入侵路径。
多篇围绕 Mythos 风险的报道都提到,监管者和银行担心模型能把多个软件缺陷连接起来,并测试现有防线能否跟上 AI 加速攻击。 这些说法应被视为媒体报道,而不是公开的一手技术证明;但其底层担忧与 Anthropic 自称 Mythos 在安全任务上能力突出的表述是一致的。
AI 不必发明全新的攻击类型,也能抬高风险。它可以让老步骤变快变顺:信息收集、代码理解、漏洞测试、钓鱼话术、行动规划。媒体报道称,基于 IMF 相关警告,高级 AI 网络工具可能加速针对全球金融系统的复杂攻击。
这并不等于新手按几个按钮就能攻破核心银行系统。更现实的变化是:更多行动者可能以更快速度、更大规模发起质量更高的试探,并在失败后迅速调整。银行因此需要重新估算每天会面对多少高强度探测,以及攻击者多快能卷土重来。
关于 Mythos 的官方披露重点是网络安全能力,而不是消费者诈骗。但银行同样需要守住客户通道。高级语言模型能让欺诈短信、邮件、客服对话和账户恢复请求更流畅、更贴近本地语境、更具个性化,给反钓鱼、账户恢复和客服风控带来压力。
银行入侵常常不是从核心系统开始,而是从被盗凭证、被诱导员工、被攻陷的供应商账号或被操纵的客户流程开始。AI 辅助欺诈因此可能成为网络攻击链的一环,而不只是消费者保护问题。
传统防御依赖时间:有时间识别扫描,修补暴露系统,调查异常,轮换凭证,协调供应商。若攻击者能更快扫描、测试、修改、重试,银行也必须把防御闭环提速。
这也是为什么有报道说,银行和监管机构正在围绕 Mythos 式能力检查访问、测试和准备情况。 在印度,报道称官员要求银行与 CERT-In 等机构协同,以识别和处理与新兴 AI 模型相关的网络安全风险;CERT-In 可理解为印度国家层面的计算机应急响应机构。
银行遭遇网络攻击,不只是 IT 部门的事故。如果客户无法取用资金,支付服务中断,市场参与者丧失信心,或者某个共同服务商牵连多家机构,它就可能变成金融事件。
IMF 2024 年《全球金融稳定报告》的网络风险章节指出,到当时为止,网络事件尚未形成系统性危机,但极端损失风险已经上升。报告还称,金融部门高度暴露于网络风险;严重网络事件可能通过信心丧失、关键服务中断,以及技术与金融之间的相互连接,形成宏观金融稳定风险。
这就是 Mythos 引发担忧的系统性角度。一个强大的 AI 模型不需要直接“击穿银行体系”。只要它提高针对共享软件、供应商和运营依赖的攻击速度、规模和可重复性,就可能放大系统风险。
银行的优先事项相对清晰:
目前最强的公开证据来自 Anthropic 自身披露:Mythos Preview 在计算机安全任务上能力突出,面向防御伙伴受限开放,并被用于 Project Glasswing。 Anthropic 的风险更新也确认,该模型比以往模型更强、更具代理式使用特征,同时仍被描述为该公司迄今最符合对齐目标的发布版本。
同样重要的是,公开资料并未证明已经发生由 Mythos 直接促成的银行入侵、大规模盗取银行账户资金,或已经实现的系统性网络事件。IMF 的更广义网络风险研究称,严重网络事件可能成为宏观金融风险,但也指出截至报告时网络事件尚未形成系统性危机。
所以,合理结论不是恐慌,而是更新威胁模型:前沿 AI 可以帮助防守者保护关键系统,但它也预示着进攻性网络工作可能变得更快、更便宜、更容易规模化。仍按人类速度假设运行防线的银行,风险暴露最大。