Business Standard 報導稱,國際貨幣基金(IMF)曾警告金融機構,Claude Mythos 這類進階 AI 工具可能加速尋找與利用軟體弱點。 對銀行而言,真正危險的是「漏洞存在」到「漏洞被串成可用入侵路徑」之間的時間差被壓縮。
最令人擔心的,未必是單一完美漏洞,而是攻擊鏈:一個雲端權限設定錯誤、一個暴露 API、一個過期套件、一組外洩憑證、一次供應商帳號濫用,原本各自看似不致命,卻可能被組合成完整入侵路徑。
多篇 Mythos 相關報導都把焦點放在這種「串接多個軟體缺陷」的能力,以及現有防禦是否能追上 AI 加速攻擊的問題上。 這些報導仍應視為媒體報導,而非完整的一手技術證明;但其核心憂慮,與 Anthropic 自稱 Mythos 在資安任務上格外有能力的說法一致。
AI 不一定要創造全新的攻擊類型,才會提高風險。它只要讓既有攻擊步驟更容易——例如偵察、閱讀程式碼、測試漏洞、生成釣魚話術、規劃操作流程——就可能讓更多攻擊者做出品質更高、速度更快、規模更大的嘗試。
Mythos 的公開討論主要聚焦在資安能力,而不是一般消費詐騙。但銀行還有大量面向客戶與員工的通道:客服、帳戶復原、電子郵件、簡訊、企業往來、供應商請款流程。大型語言模型若讓假訊息更流暢、更在地化、更個人化,反釣魚與身分驗證機制就會承受更大壓力。
許多銀行事件並不是從核心帳務系統開始,而是從被竊憑證、受騙員工、遭入侵供應商帳號,或被操控的客戶流程開始。也就是說,AI 輔助詐騙可能不只是消費者保護問題,而是整條網路攻擊鏈的一部分。
傳統資安防禦高度依賴時間:偵測掃描、修補暴露系統、調查異常、輪替憑證、通知供應商。若攻擊者能更快掃描、測試、修改並重試,銀行也必須加快防禦循環。
這也是為什麼有報導稱,銀行與監理機關正在檢視 Mythos 類能力的存取、測試與準備程度。 在印度,報導稱主管機關要求銀行與 CERT-In(印度電腦緊急應變小組)等機構密切協調,以識別並處理與新興 AI 模型相關的資安風險。
銀行資安事件不只是 IT 部門的問題。若客戶無法存取資金、支付服務中斷、市場信心受損,或共同供應商影響多家金融機構,資安事件就可能轉化為金融事件。
IMF 在 2024 年《全球金融穩定報告》的網路風險章節指出,網路事件至今尚未形成系統性事件,但極端損失風險已上升;金融業高度暴露於網路風險,而嚴重網路事件可能透過信心喪失、關鍵服務中斷,以及科技與金融之間的相互連結,造成宏觀金融穩定風險。
這就是 Mythos 引發銀行警戒的系統性角度。強大的 AI 不必直接「摧毀銀行系統」,也可能透過提高攻擊速度、規模與可重複性,放大銀行共同依賴的軟體、雲端、供應商與營運基礎設施風險。
銀行可以優先做幾件事:
目前最強的一手公開證據,是 Anthropic 自己的說法:Mythos Preview 在電腦安全任務上能力突出、只提供給防禦性合作夥伴,並被放在 Project Glasswing 的核心位置。 Anthropic 的風險更新也確認,該模型比過去模型更有能力、更具代理性,同時仍被描述為其迄今對齊表現最佳的版本。
同樣重要的是,公開資料尚未證明 Mythos 已造成銀行被駭、客戶帳戶大規模失竊,或已引發系統性金融資安事件。IMF 的廣泛網路風險研究提醒,嚴重資安事件可能成為宏觀金融風險,但也指出至今網路事件尚未形成系統性事件。
因此,合理結論不是恐慌,而是更新威脅模型:前沿 AI 能幫防禦者保護關鍵系統,也提示未來進攻性資安工作可能更快、更便宜、更容易規模化。仍以「人類速度」設計防線的銀行,才是最需要警覺的一群。