ASIC 警告金融机构注意 AI 网络风险

澳大利亚证券与投资委员会（ASIC）警告金融机构加强网络防御，并援引 Anthropic 的 Mythos 等先进 AI 模型，称其暴露了软件缺陷。根据 Reuters 报道，ASIC 专员 Simone Constant 表示，机构应在威胁变得更清晰之前采取行动，并聚焦基本的网络韧性措施。

监管背景

该警告发布于一个月之后：澳大利亚审慎监管局（Australian Prudential Regulation Authority）发布了其自身的警报，称安全实践难以跟上 AI 的发展。剑桥另类金融中心（Cambridge Centre for Alternative Finance）的另一项研究发现，只有 20% 的监管机构已推进先进 AI 采用，并且监管者在跟踪新兴危害方面落后于金融机构。

Mythos 的利用能力

Anthropologic 的 Mythos Preview 不仅能识别漏洞——它还能为软件缺陷编写可运行的利用程序。该模型独立发现并利用了 OpenBSD（一个为安全而构建的开源操作系统）中的 27 年旧漏洞。Mythos 还使用 CVE-2026-4747，在 FreeBSD（另一个开源操作系统）上的网络文件系统（Network File System，NFS）实现以 root 身份的远程代码执行。

Anthropic 表示，该模型在主要操作系统和网络浏览器中发现了数千个高严重性漏洞，其中许多长期未被发现，时间跨度可达数年甚至数十年。Mythos Preview 的访问权限有限，而 Project Glasswing 汇集了 Amazon Web Services、苹果安全团队、Google、Microsoft、NVIDIA 等力量，旨在在类似工具扩散之前先行保障广泛使用的软件安全。

对网络安全经济学的影响

这种能力显著改变了发起网络攻击的成本与时间线。过去被视为低风险的漏洞如今引发更大担忧，因为 Mythos Preview 可以在数小时内构建利用程序——专家渗透测试人员表示，使用传统方法完成同样工作将需要数周。该变化意味着金融机构和其他组织可能需要更快的补丁周期，并采用更自动化的防御。

针对其他前沿 AI 模型的测试表明，更先进的网络能力往往伴随更广泛的 AI 进展，意味着威胁很可能会增长。

常见问题

Mythos 是什么，为什么会引起金融机构的关注？

Mythos 是 Anthropic 的先进 AI 模型，它可以识别软件漏洞并编写可运行的利用程序。ASIC 警告金融机构是因为 Mythos 能揭示在广泛使用系统中的安全缺陷，从而将发起网络攻击所需的时间和成本降低到 API 密钥价格的水平。该模型已展示出在操作系统和网络浏览器中发现成千上万高严重性漏洞的能力。

Mythos 生成利用程序的速度，相比传统方法有多快？

Mythos 能在数小时内构建利用程序，而专家渗透测试人员表示，使用传统方法完成同样工作将需要数周。这种加速从根本上改变了网络安全经济学，并提升了对漏洞修补的紧迫性。

监管机构正在做什么来应对由 AI 驱动的网络风险？

ASIC 建议金融机构加强网络防御，并在威胁变得更清晰之前聚焦基本的网络韧性措施。澳大利亚审慎监管局就安全实践落后于 AI 发展也发布了类似警告。Project Glasswing 汇集了主要技术与云计算公司，致力于在类似的利用程序生成工具变得普遍之前先行保障广泛使用的软件安全。