德国监管机构警告AI进步带来的网络安全风险并成立新部门
德国银行业监管机构近日警告称,人工智能(AI)的进步导致网络安全风险不断上升且十分重大,并宣布将成立一个新的部门对金融机构进行针对性检查。此前,全球多国金融监管机构已对AI模型,尤其是Anthropic发布的Mythos模型给银行业带来的网络安全风险表达了关注,并加紧评估金融机构的应对准备情况。
专家们指出,Mythos模型在高水平Agent编程方面的强大能力,使其具备前所未有的识别网络安全系统漏洞的能力,促使全球政策制定者与金融系统监管机构加大审视力度。这些监管机构已将Mythos视为可能撬动银行体系、支付清算与关键金融数据库安全的核心新型风险源。
监管机构的反应
德国联邦金融监管局(BaFin)主席Mark Branson表示,新的AI模型能够以惊人的速度识别新旧IT系统中的大量漏洞,并越来越快地利用所发现的漏洞。他强调金融行业加强网络安全建设是紧迫且必要的投资,并指出新成立的部门将对金融机构展开针对性检查,以更有效地应对当前的发展和事件。
澳大利亚金融审慎监管局(APRA)表示将继续评估AI技术进步带来的影响,确保金融体系的安全性和韧性。澳大利亚证券与投资委员会(ASIC)正与监管机构们密切监测技术进展,评估对澳大利亚金融市场的可能影响,并与金融业务执行部门保持沟通,以保护客户和顾客。
韩国金融监督院(FSS)已与本土大型金融公司的信息安全官员召开会议,审查与Mythos相关的风险。韩国金融委员会(FSC)也与金融监督院、银行及保险公司的首席信息安全官们召开紧急会议,以审查相关风险。
Mythos模型的威胁
Anthropic初步推出的Mythos模型不是普通的AI聊天机器人,而是一个尚未全面发布的前沿通用大模型预览版。其能力集中在高阶代码理解、漏洞挖掘与漏洞利用生成。官方披露,Mythos Preview已能在测试中发现并利用所有类型主流操作系统与主流浏览器中的“零日漏洞”,并在某些情况下下能够自主生成复杂的漏洞利用程序。
“零日漏洞”指的是软件、硬件或固件中此前未知、因而尚无补丁可修复的安全缺陷。Mythos能够攻击系统“零日漏洞”的强大能力意味着金融系统IT风险不再只是单家机构被黑,可能演变成账户盗取、支付中断、关键数据库暴露乃至金融稳定被摧毁的末日级别重大问题。
由于银行业普遍运行着新旧技术叠加的复杂遗留系统,系统间高度互联、攻击面广,而Mythos这类模型擅长在这种复杂代码与协议环境中识别薄弱点,并推演利用路径。Anthropic没有将Mythos一般性开放,而是先通过“Project Glasswing”让一部分关键基础设施维护者们把它用于防御性安全工作。目前,已有多家美国银行获得了Mythos的使用权限。
全球金融监管机构,包括美联储、英国央行、欧洲央行以及澳大利亚金融监管机构,都已把Mythos视为可能显著强化网络攻击的新型风险源。英国央行行长贝利甚至直言,这类模型可能把“整个网络风险世界撬开”。当前最紧迫的问题是全球银行监管机构、财政部门、全球央行与关键金融基础设施运营方能否建立跨境信息共享、统一威胁评估、模型访问管理与应急协同机制。
