欧洲央行紧急约谈银行：AI发现致命漏洞，金融系统“定时炸弹”待拆

欧洲央行的“三板斧”危机应对

2026年5月26日，欧洲央行召集各大银行举行特别会议，专门应对Claude Mythos Preview及类似先进AI模型所暴露的网络安全风险。这次会议明确了围绕三大紧急要求构建的监管策略。

不再找借口，加速打补丁。 欧洲央行监事会副主席弗兰克·埃尔德森在会上向银行发出严正警告，“时不我待”，要求银行“大幅加快”其安全加固工作，尽快修补模型所暴露的漏洞。他将这项工作描述为修补“已暴露的漏洞”的紧急任务。

共享已知情报。 由于欧洲银行基本被排除在测试该模型的有限联盟之外，欧洲央行请求能够访问该模型的美国银行与欧洲同行分享相关洞见。埃尔德森承认这种状况“令人遗憾”，但他同时强调，“缺乏对模型的访问权限，不是不作为的借口”。

回应监管者的质询。 欧洲央行正利用常规监管对话，系统性地向银行询问其对AI驱动网络威胁的准备情况，收集有关威胁暴露范围、补丁修复频率以及防御工具的信息。这一方法反映了全球协调一致的监管行动，尽管欧洲央行并未像美国财政部那样发出高调的传唤。

这种紧迫感得到了现实世界验证的支持。英国AI安全研究所发现，Mythos Preview完成了73%的专家级“夺旗”挑战，这是截至2025年4月没有任何AI模型能够通过的基准。火狐浏览器则在版本150中一次性发布了271个补丁，专门修复该模型发现的漏洞。

Claude Mythos Preview到底发现了什么？

这些漏洞并非理论上的假设。在一个受控的评估期内，该模型自主识别了数千个高危漏洞并生成了有效的攻击代码，其中包括FreeBSD的NFS服务器中存在了17年的一个远程代码执行漏洞，该漏洞可使任何互联网攻击者获取未经认证的root权限；以及一个在OpenBSD系统中隐藏了27年、躲过了数十年人工审计的崩溃漏洞。

其影响范围是系统性的，而非局限于特定供应商。所有主流操作系统和网络浏览器均受影响。更可怕的是，超过99%的被发现漏洞尚未得到修补，这在金融业普遍使用的老旧技术基础设施上留下了一个巨大的攻击面。

该模型的攻击能力远超被动检测。它在评估窗口期内自主演示了针对广泛使用的软件中关键漏洞的攻击路径，并通过可用的概念验证代码确认了其发现。网络安全专家目前认为，该模型对银行业及其老旧的科技系统构成了重大挑战。

为何欧洲在“盲飞”

欧洲机构面临的最严峻挑战，不仅仅在于存在这些漏洞，更在于获取发现这些漏洞工具的途径极不对称。Anthropic通过名为“玻璃翼项目”的门控式研究预览来发放Claude Mythos Preview的访问权限，优先考虑防御性的网络安全用例，但将其限制在一个主要由美国科技合作伙伴组成的联盟内，包括了亚马逊云科技、谷歌云和CrowdStrike。

欧洲的银行、监管者和网络安全公司大多被拒之门外。这意味着，他们必须修复那些自己无法用同样AI能力去独立探测或验证的漏洞。这造成了一种“防御不对称”：有访问权限的攻击者可以利用这些漏洞，而欧洲的防御者却难以轻易分析或复现它们。

对于欧盟的政策制定者而言，这种监管鸿沟尤其令人沮丧。欧洲央行和欧洲议会正在迫切寻求答案和行动，但却缺乏美国联盟成员们所拥有的直接技术访问权限，这使得监督和独立风险评估变得更为复杂。德国银行业协会曾向S&P Global Market Intelligence表示，他们正与其成员银行、德国联邦财政部、金融监管局、德国央行以及欧洲和国际机构保持“持续对话”——但这种沟通仍是反应式的，而非前瞻性的。

Anthropic已承诺将在90天内公开报告“玻璃翼项目”的调查结果，业界正密切关注这一披露。在此之前，欧洲的监管者们陷入了一种两难境地：一边是迫在眉睫的操作性威胁，另一边是他们无法触碰的工具，只能要求银行加快修补速度，以对抗一个他们目前还无法完全看清的对手。