人工智慧時代的資安生存戰：歐洲央行緊急通牒，Anthropic 旗下 Mythos 模型徹底顛覆網路威脅格局

引發恐慌的具體能力有兩個層面。首先，Mythos 的漏洞檢測能力在規模與速度上都極為驚人，讓傳統的安全工具和人工修補週期顯得落伍。它在數百個專案中挖出數千個漏洞的速度，遠非任何人類團隊或傳統掃描器所能及 。第二點，也是更令人擔憂的是，這套模型展現出了雙重用途的攻擊潛力：它不僅能找到漏洞，還能為它們生成可實際運作的攻擊程式碼，部分評估顯示其首次嘗試成功率就超過 83% 。

這種組合拳意味著，不論是國家級駭客組織還是技術高超的犯罪集團，理論上都能利用類似的 AI 工具掃描金融基礎設施，找出未修補的漏洞，並在機構來得及反應前發動攻擊。ECB 得出的結論是，防禦的時間軸必須從過往的數週或數月，縮短到數小時甚至數分鐘 。

即刻修補：沒有權限，不是藉口

ECB 此次訊息最不尋常的一點，或許在於它預先堵住了一個銀行必然會提出的論點：「我們根本沒有 Mythos 的存取權，要怎麼防禦它？」

埃爾德森的回應不留任何空間。「缺乏存取權不該是不作為的藉口。正好相反，這讓銀行必須站出來、立刻行動這件事變得更加關鍵，」他在 5 月 13 日的訪談中如此表示 。到了五月下旬，這個訊息已經濃縮為一道明確的營運指令：加速軟體修補的推展。監理機關強調了「這對金融體系威脅的嚴重性」，並敦促放款機構加快腳步保護其 IT 系統，無論自身有無存取權，都該將其視為即時風險 。

ECB 的逐步施壓：從詢問到緊急召見

ECB 在 2026 年春季的行動，揭示了一個監理機關如何奮力追趕並試圖控制一個超出既有監理工具箱範疇的威脅。

2026 年 4 月中旬： ECB 召開了一場與歐元區放款機構風險長們的電話會議，以了解他們對 Mythos 風險的評估 。在這個階段，語氣尚屬詢問性質——監理官正在蒐集這個新型潛在風險的情資。

2026 年 5 月 13 日： 姿態轉為公開的急迫性。埃爾德森利用 ECB 監理通訊的訪談機會，公開呼籲銀行盡速為 AI 輔助的網路攻擊做好準備，並直接點名了 Mythos 及類似工具 。

2026 年 5 月 24 到 26 日： 溝通強度達到頂峰。ECB 在 5 月 26 日緊急召見歐元區銀行高層，同時還舉辦了一場吸引了「超過 300 名來自業界、公部門和代表協會的參與者」的線上會議，分享經驗並討論共同挑戰 。

這一系列的動作，揭示了從情報蒐集到營運壓力的演變過程。到了五月的最後一週，ECB 不再詢問銀行知道些什麼，而是直接告訴他們該做什麼。

「琉璃翼」計畫與資訊不對等

這場危機的核心，在於 Anthropic 名為「Project Glasswing」（琉璃翼計畫）的受控發布專案。該公司並未公開發布 Mythos，而是將存取權限授予一個受到嚴格限制的關鍵基礎設施合作夥伴聯盟——其中包括了像是摩根大通和美國銀行等美國大型銀行——讓他們能利用該模型來尋找並修復自身系統的缺陷 。

歐洲的銀行基本上都被排除在外。這就造成了一種尖銳的資訊不對稱：美國的機構可以用有史以來最強大的資安 AI 來檢測自家系統，而歐洲的放款機構對於 Mythos 可能揭露的、甚至潛在敵對勢力可能利用的相同漏洞，卻仍一無所知 。

ECB 的回應，是要求那些在歐元區有營運的美國銀行，自願地與他們的歐洲同業，分享自身透過「琉璃翼計畫」學到的威脅情資和緩解措施 。這是一個極不尋常的要求——要求商業上的競爭對手，透過自願合作的形式，來弭平因地緣政治造成的存取權鴻溝。

陷入僵局的談判與監理挫敗

這個存取權的鴻溝之所以持續存在，是因為歐盟與 Anthropic 之間的高層級談判，在 2026 年 5 月下旬已正式陷入膠著。西班牙經濟部長卡洛斯·奎爾波在 5 月 22 日一場歐盟財政部長峰會前證實：「不幸的是，這個領域的進展相當有限」。儘管 Anthropic 與歐盟官員之間進行了數次會議，但有消息來源指出，雙方「並未就授予歐洲實體 Claude Mythos 近用權展開直接對話」，這引發了一家外媒所稱的「對歐洲大陸強烈的資安疑慮」。

Anthropic 的立場是刻意為之的。該公司表示，Mythos 具備的攻擊性資安能力，使得限制公開發布以防止濫用成為必要之舉，且早在 2026 年 4 月，它便暗示計畫「很快」會向歐洲銀行提供存取權。但到了五月下旬，依然未見任何具體協議的蹤影 。

讓這個挫敗感雪上加霜的，是現實的監理困境。歐盟《人工智慧法案》的第 92 條，賦予了歐盟執委會對具系統性風險的 AI 模型進行評估的權力，該條款自 2025 年 8 月起已生效。然而，包括根據第 101 條處以罰款的強制執行權力，要等到 2026 年 8 月 2 日才會生效 。這意味著，歐盟的 AI 辦公室可以提出請求，但在這個威脅看起來最為嚴峻的時期，它手上缺乏能硬性強迫對方配合的法律槓桿。

埃爾德森直接了當地表達了由此產生的困境，他指出，歐盟缺乏存取權限，反而讓資安情勢更加惡化：歐洲銀行無法使用這套能揭露自身弱點的工具，而它們的美國競爭對手，卻能藉此積極強化自身的防禦 。

下一步會是什麼？

ECB 在五月下旬的警告，標誌著 AI 能力與金融穩定風險交會下的一個分水嶺時刻。其直接後果是歐元區銀行爭相加速其修補週期，而更廣泛的問題則仍懸而未決。Anthropic 會在歐盟於八月取得強制執行權力之前，就對歐洲開放存取權嗎？銀行之間自願性的情資共享，真的能有效弭平這個落差嗎？而最根本的問題是，這個為「人類速度」威脅所設計的金融監理架構，在一個 AI 模型尋找並利用漏洞的速度快過機構打補丁的世界裡，真的還夠用嗎？

目前為止，ECB 的指令依然清楚明瞭：即刻修補，分享所知，並預設威脅已然降臨。套用埃爾德森的話來說，時間正在倒數。