AI漏洞巡检“降门槛”,全球银行业直面新风险挑战

一场由AI引发的网络安全攻防战，正在金融行业悄然升级

2026年4月15日，距离Anthropic发布其最新大模型Claude Mythos预览版刚刚过去一周。这款被官方称为“迄今在编程和智能体任务方面能力最强”的模型，正在全球网络安全和金融监管圈内引发一连串警觉。

原因并不复杂：它既能发现漏洞，也会利用漏洞。

当大模型学会“动手”

根据云安全联盟在本月12日发布的一份战略简报，Mythos在识别和利用网络安全漏洞方面展现出前所未有的潜力。但问题的另一面是，它同样大幅降低了发现和利用漏洞的技术门槛与成本。

云安全联盟的成员包括多位网络安全高管及美国前政府高级官员，其判断具有一定的权威性和前瞻性。简报中明确指出，Mythos代表了能力强大的AI模型发展轨迹中的一次重大转变——它发现和利用漏洞的速度，甚至超过了机构组织修补漏洞的能力。

更具象的例子来自一个开源程序FFmpeg。在Mythos的扫描下，一个存在了16年之久的漏洞被识别出来。这意味着，许多长期被认为“安全”的老旧系统，可能并不像想象中那样固若金汤。

对于银行业来说，Mythos带来的压力尤为直接。

企业AI安全公司Guardrail Technologies的首席执行官TJ·马林告诉路透社，银行面临一个棘手矛盾：它们的技术架构往往将最先进的AI工具与几十年前的旧软件结合在一起。这种组合本身就容易暴露出大量潜在漏洞。

“Mythos能够审视复杂架构和传统基础设施，”马林说，“那些过去因为复杂而难以被发现的漏洞，现在变得可以被访问，并真正成为威胁。”

更令人担忧的是银行业的高度互联特性。许多金融机构使用同一套狭窄的软件来处理客户接入、交易执行等核心功能。曾在美国货币监理署工作的旧金山顾问纳雷什·拉赫贾指出，这是一个高度专业化且受到严格监管的行业，IT系统之间存在大量互连，很多银行共享相同的供应商和解决方案。

马林将这种现象称为“漏洞倍增器”。他警告说，一旦AI驱动的攻击利用了这一特点，规模上可能带来灾难性后果。

英国政府的AI安全研究所在本周一发布警告，称Mythos在网络威胁方面比以往任何模型都“更上一层楼”。

该研究所的测试显示，Mythos可以执行需要多个步骤的攻击流程，并在无需人工干预的情况下自主发现IT系统的弱点。这些任务原本通常需要人类专家花费数天才能完成。

尤其值得关注的是，Mythos是首个成功完成该研究所创建的32步网络攻击模拟的AI模型，在10次尝试中成功解决了3次挑战。研究所同时指出，Mythos似乎能够自主攻击那些小型、防御薄弱的IT系统，但目前尚无法确定它能否攻破防御良好的系统。

面对这一新兴风险，监管层的反应相当迅速。

美国、加拿大和英国的官员已经分别与本国银行进行了会面，专门讨论Mythos相关的网络安全威胁。美国财政部长上周召集高盛首席执行官大卫·所罗门及其他美国大型银行负责人前往华盛顿，进行专题讨论。美国财政部表示，特朗普政府正在推动金融机构“理解和预判广泛的市场发展”，并计划就此问题举行更多会议。

所罗门公开表示，他对Mythos的能力“高度警觉”，并透露高盛正在与Anthropic紧密合作，增强网络和基础设施的韧性。“我们拥有该模型，我们正与Anthropic以及我们所有的安全供应商紧密合作，尽一切可能利用前沿能力。”

英国方面，由首席执行官以及来自英国财政部、英格兰银行、英国金融行为监管局和英国国家网络安全中心官员组成的跨市场运营韧性小组，计划在未来两周内举行会议。英国监管机构预计将在未来几周内与英国银行高管和政府官员进一步讨论Mythos的风险问题。

面对Mythos带来的挑战，各方给出的应对思路并不完全相同。

Anthropic公司明确表示，Claude Mythos预览版不会向公众全面开放。该公司目前仅邀请大型科技公司、网络安全供应商、摩根大通以及其他数十家机构私下评估该模型，并相应准备防御措施。

但IBM提出了不同的看法。在一篇4月9日的博客文章中，IBM表示，Mythos正“迫使企业安全团队从根本上重新思考其防御措施”，并呼吁采取更加开源的策略，让更多公司和研究人员能够使用该模型，从而通过集体力量使每个人都更加安全。

网络安全公司TLPBLACK联合创始人科斯汀·拉尤则提醒，银行业的传统技术系统大多在几十年前发布，其中包括IBM等公司生产的产品，这些系统多年来经历了无数次更新。这种历史包袱，恰恰是当前防御体系中最脆弱的一环。

英国AI安全研究所也在报告中给出了一条明确的时间线：未来的先进AI模型只会比Mythos更强大。这意味着，现在对网络防御进行投资，已经不是选择题，而是必答题。