Anthropic最新发布的大模型Claude Mythos预览版，在识别网络安全漏洞和利用漏洞方面具备了前所未有的潜力，但云安全联盟日前警告称，Mythos同时也降低了发现和利用漏洞的成本和技能门槛。云安全联盟由网络安全高管和美国前政府高级官员组成。Mythos或使得传统银行系统面临前所未有的网络风险。

金融机构面临棘手问题

Anthropic在4月上旬公布Mythos模型，并称之为“迄今在编程和智能体任务方面能力最强的模型”。由于编程能力强大， Claude Mythos预览版能够识别并利用每个主要计算机操作系统和每个主要网页浏览器中此前未被发现的漏洞，这意味着目标系统可能会因此遭受严重影响。在用于处理音视频文件的开源程序FFmpeg中，Mythos预览版识别出存在16年之久的漏洞。

据路透社4月14日报道，企业AI安全公司Guardrail Technologies首席执行官TJ Marlin（TJ·马林）表示，这对银行及其他金融机构来说是棘手问题，因为它们所使用的技术架构将最先进的工具与数十年前的软件相结合，这可能会暴露出大量漏洞。马林表示，Mythos预览版能够审视复杂架构和传统基础设施，“这些未被发现的漏洞和复杂性问题如今变得可被访问，并成为威胁因素。”

银行业还高度互联，许多公司使用同一套狭窄的软件来接入客户、处理交易。“这是一个非常专业化且受到严格监管的行业，存在很多IT互连。”曾在美国货币监理署工作的旧金山顾问纳雷什·拉赫贾（Naresh Raheja）说，许多银行都使用相同的供应商和相同的解决方案。马林则表示，这可能成为漏洞的倍增器，使任何由AI驱动的攻击“在规模上可能具有灾难性后果”。

在4月12日的一份战略简报中，云安全联盟警告称，Mythos代表了能力强大的AI模型的发展轨迹发生了重大转变，它降低了发现和利用漏洞的成本和技能门槛，其速度甚至超过了机构组织的漏洞修补能力。

另据《卫报》报道，英国政府的AI安全研究所（AISI）周一警告称，Mythos在构成网络威胁方面比之前的模型“更上一层楼”。Mythos可以执行需要多个步骤的攻击，并在无需人工干预的情况下发现IT系统的弱点。而这些任务通常需要人类专家数天才能完成。Mythos是首个成功完成AISI创建的32步网络攻击模拟的AI模型，在10次尝试中解决了3次挑战。AISI表示，Mythos似乎能够自主攻击小型、防御薄弱的IT系统，但无法确定它能否攻击防御良好的系统。

多国官员与银行会面商讨

为应对Mythos带来的金融风险，美国、加拿大和英国官员已与银行会面，讨论与Mythos相关的网络安全威胁。美国财政部长上周已召集高盛首席执行官大卫·所罗门（David Solomon）及其他美国大银行家前往华盛顿讨论Mythos模型。美国财政部表示，特朗普政府正推动金融机构“理解和预判广泛的市场发展”，并计划就这一问题举行更多会议。

所罗门表示，他对Anthropic公司的Mythos模型能力“高度警觉”，并与这家科技公司紧密合作，增强网络和基础设施韧性。“我们了解Mythos及其能力……我们拥有该模型。我们正与Anthropic以及我们所有的安全供应商紧密合作，尽一切可能利用前沿能力。”

AISI表示，未来的先进AI模型只会比Mythos更强大，因此现在对网络防御进行投资至关重要。

据《卫报》报道，英国监管机构预计将在未来几周内与英国银行高管和政府官员讨论Mythos的风险问题。由首席执行官以及来自英国财政部、英格兰银行、英国金融行为监管局和英国国家网络安全中心的官员组成的跨市场运营韧性小组（CMorg）计划在未来两周内举行会议。

Anthropic曾表示，Claude Mythos预览版不会向公众全面开放。该公司邀请大型科技公司、网络安全供应商、摩根大通以及其他数十家机构私下评估该模型，并相应准备防御措施。

网络安全公司TLPBLACK联合创始人科斯汀·拉尤（Costin Raiu）表示，银行业的传统技术系统在几十年前发布，其中就包括IBM在内的公司生产的产品，多年来这些系统经历了多次更新。在4月9 日的一篇博客文章中，IBM表示，Mythos正“迫使企业安全团队从根本上重新思考其防御措施”，并呼吁采取更多开源方式，让更多公司和研究人员能够使用该模型，从而使每个人都更加安全。