5 月 7 日周四,国际货币基金组织(IMF)发出警告:以 Anthropic 公司 Claude Mythos 为代表的最新一代 AI 模型,正在将网络安全风险推升至可能引发 " 宏观金融冲击 " 的量级,并可能在金融系统层面造成 " 相关性失败 "。这是 IMF 首次就最新 AI 模型带来的网络安全威胁专门发文。
IMF 在博客文章中直接点名 Mythos 的近期受控发布,称其 " 凸显了风险上升的速度之快 "。IMF 还明确表示,金融机构的防线 " 不可避免 " 将被突破,呼吁各方将 " 韧性 " ——即限制事件扩散、确保快速恢复——列为优先事项。
这一警告的背景是:Mythos 目前仅向 40 家以美国为主的机构开放,包括亚马逊、微软以及摩根大通等大型银行。大量非美国银行和金融机构尚未获得访问权限,由此引发外界对全球金融体系保护水平参差不齐的担忧。
Mythos 究竟有多危险?
Anthropic 上月披露,Mythos 已 " 发现数千个高危漏洞,包括每个主流操作系统和浏览器中的漏洞 "。Anthropic 自己也警告称:" 对经济、公共安全和国家安全的冲击可能是严重的。"
这意味着什么?简单来说,以往黑客需要花费大量时间和成本去寻找系统漏洞,而 Mythos 这类 AI 模型可以大幅压缩这一过程。
IMF 高级官员在文章中写道:" 先进 AI 模型能够大幅降低识别和利用漏洞所需的时间和成本,使得同时发现并攻击广泛使用系统中的弱点的可能性显著上升。"
更关键的是 " 同时 " 二字。金融机构普遍使用相同的软件和共享服务提供商,这意味着 AI 模型可能 " 在众多机构中同时制造漏洞 "。一旦多家机构同时遭到攻击,IMF 警告," 信心效应、支付中断、流动性紧张和甩卖动态可能随之而来 " ——这正是系统性风险的经典传导路径。
访问权限不均等,非美国机构暴露在外
Mythos 目前处于受控发布阶段,获得访问权限的 40 家机构可以提前获知漏洞并进行 " 补丁 " 修复。但这一名单以美国机构为主,大量非美国银行和金融集团被排除在外。
据英国《金融时报》报道,已获得访问权限的公司表示,应对 Mythos 揭示的威胁,需要 " 公共和私营部门的联合行动 "。
IMF 对此明确指出:" 网络风险不尊重国界。" 它特别提到,新兴市场和发展中国家往往面临更严重的资源约束,可能 " 不成比例地暴露于针对防御薄弱地区的攻击者 "。
这对全球金融体系而言意味着一个结构性隐患:防御最薄弱的环节,恰恰可能成为系统性风险的引爆点。
IMF 的具体建议
IMF 承认,金融软件 " 比开源基础设施更难攻击 ",但随即补充,这一优势 " 随着模型训练扩展、能力扩散和泄露的发生,可能很快被侵蚀 "。
换言之,现有的相对安全只是暂时的。
IMF 给出的应对建议包括:
网络压力测试和情景分析:模拟 AI 驱动的网络攻击对金融系统的冲击
董事会层面的网络风险监督:将网络安全纳入最高决策层的议程
公私部门在威胁情报和事件响应上的协作:打破信息孤岛
加强国际合作:尤其是帮助资源有限的新兴市场提升防御能力
IMF 的核心逻辑是:与其寄望于 " 防住所有攻击 ",不如同时建立 " 被攻破后如何快速恢复 " 的能力。
