歐洲央行急召銀行開會：AI搵到萬計漏洞，你哋冇得再拖

ECB三招逼銀行埋位

2026年5月26號，ECB召開咗一次同銀行嘅特別會議，專門討論由Claude Mythos Preview同類似AI模型引發嘅網絡安全風險 。會議提出三個即時要求，完全冇俾銀行走盞位。

限時補鑊，唔好搵藉口。 ECB監事會副主席Frank Elderson警告銀行：「時鐘已經倒數緊」，要求佢哋「大幅加快」修補呢批AI發現嘅漏洞 。佢形容呢個係「修補已曝光漏洞」嘅緊急工作，冇商量餘地 。

資訊要共享。 由於歐洲銀行幾乎全部被排除喺Mythos模型嘅有限測試圈子之外，ECB要求有得掂個模型嘅美國銀行，同歐洲同行分享佢哋嘅發現。Elderson承認呢個情況「好不幸」，但強調「冇得用個模型，唔係坐喺度乜都唔做嘅藉口」 。

向監管機構交代。 ECB透過恆常嘅監管對話，有系統咁向銀行盤問佢哋對AI網絡威脅嘅準備情況，包括風險曝露程度、修補漏洞嘅速度、防禦工具等 。呢個做法同全球監管機構嘅協調行動一致，雖然ECB暫時未好似美國財政部咁出到高姿態嘅傳召令 。

呢種逼切性背後有現實數據支持。英國嘅AI安全研究所（AISI）發現，Mythos Preview能夠破解73%嘅專家級「奪旗」挑戰（CTF），喺2025年4月之前，冇任何AI模型可以通過呢個基準測試。Mozilla亦根據模型發現嘅漏洞，喺Firefox 150版本一口氣發布咗271個修補程式 。

Mythos究竟𢲷到乜嘢漏洞？

呢批漏洞唔係理論上嘅風險。喺受控嘅評估期內，個模型自己識別出幾千個高危漏洞，仲整埋行得通嘅攻擊程式碼（exploit），包括：

• FreeBSD嘅NFS伺服器入面一個潛伏咗17年嘅遠端程式碼執行漏洞，任何連到互聯網嘅攻擊者都可以繞過認證，直接奪取系統最高權限（root access）。
• OpenBSD系統一個27年嚟都冇人類審查員發現過嘅死機漏洞 。

問題嘅影響係系統性嘅，而唔係針對個別軟件商。所有主流作業系統同網頁瀏覽器都中招 。超過99%被發現嘅漏洞到目前為止仲未修補，意味住金融界沿用嘅舊式技術基建，曝露喺極大嘅攻擊面之下 。

呢個模型嘅能力遠超被動偵測。佢能夠自己喺廣泛使用嘅軟件入面，搵出關鍵漏洞嘅攻擊路徑，仲喺評估期內用行得通嘅概念驗證（PoC）去確認發現 。網絡安全專家而家認為，呢個模型對銀行業同佢哋嘅舊式科技系統構成重大挑戰 。

點解歐洲會咁被動？

歐洲機構面對最棘手嘅問題，並唔單止係漏洞本身，而係發現呢啲漏洞嘅工具，佢哋根本冇得用。

Anthropic透過一個叫「Project Glasswing」嘅封閉式研究預覽計劃去發布Claude Mythos Preview，獲邀加入嘅主要係美國科技公司，包括AWS、Google Cloud同CrowdStrike，而且優先俾做防禦性網絡安全工作嘅機構使用 。

歐洲嘅銀行、監管機構同網絡安全公司，大部分都被拒諸門外。佢哋必須修補一啲自己冇辦法用同等AI能力去獨立檢查同驗證嘅漏洞 。呢個形成咗一個防禦上嘅不對稱局面：攻擊者如果有機會用到呢個模型，就可以利用漏洞發起攻擊，而作為防守方嘅歐洲機構，連分析同重現攻擊都做唔到。

對於歐盟嘅政策制定者嚟講，呢個監管鴻溝特別令人氣結。ECB同歐洲議會不斷施壓想要答案同行動，但佢哋就係冇美國嗰班財團成員嘅直接技術使用權，令到監督同獨立風險評估變得困難重重 。德國銀行協會（BdB）同S&P Global Market Intelligence講，佢哋同會員銀行、聯邦財政部、金融監管局（BaFin）、德國央行，以至歐洲同國際機構「保持持續對話」——但呢啲溝通依然係被動而唔係主動出擊 。

Anthropic承諾會喺90日內公開報告Project Glasswing嘅發現，成個業界都𥇵實呢份報告 。喺呢段期間，歐洲監管機構就夾喺中間：一邊係迫在眉睫嘅運作威脅，另一邊係一個掂唔到嘅工具，只能叫銀行憑空修補漏洞，對住一個仲未完全睇得清嘅敵人嚟打。