美國財政部長 Scott Bessent 與聯儲局主席 Jerome Powell 於本月初急召 JPMorgan Chase、Goldman Sachs、Citigroup、Bank of America 及 Morgan Stanley 等華爾街巨頭高層,到財政部商討 Anthropic 最新推出的 Claude Mythos Preview 模型可能帶來的網絡安全衝擊。
媒體透露今次閉門會議內容,指監管當局並非鼓勵銀行採用該模型,而是警告銀行界這款具備極強漏洞發掘與攻擊能力的人工智能工具可能改寫整個金融業的網絡防禦版圖。英倫銀行同期亦準備與當地金融機構商討同類風險,加拿大人工智能事務部長 Evan Solomon 也安排與 Anthropic 高層會面,反映 Mythos 已迅速由一項技術發布演變為跨國金融監管議題。
Mythos 模型究竟是甚麼
Anthropic 在 4 月 7 日公布 Claude Mythos Preview,定位為通用語言模型,但公司在內部測試階段發現其網絡安全表現遠超預期,根據 Anthropic 官方網誌與 Frontier Red Team 公開的技術報告,Mythos Preview 在過去數星期內於主流作業系統、瀏覽器及多款關鍵基礎軟件中找出數以千計的零日漏洞,其中包括一個潛伏於 OpenBSD 系統長達 27 年的缺陷。 負責 Anthropic 攻擊性網絡研究的 Logan Graham 向 NBC News 表示,模型可以自主串連多個漏洞,編寫程式碼並組合成完整入侵鏈,這種長距離規劃能力正是 Mythos 與前代模型的最大分別。
Anthropic 因此決定不向公眾開放這款模型,改為透過名為 Project Glasswing 的計劃,將存取權限授予約 50 間關鍵科技與安全機構,包括 Apple、Google、Microsoft、Amazon Web Services、Nvidia、Broadcom、Cisco、CrowdStrike、Palo Alto Networks、Linux Foundation 以及金融界唯一代表 JPMorgan Chase,公司亦投放約 1 億美元(約港幣 7.8 億元)的免費使用額度予合作夥伴,正式商用價格則訂為每百萬輸入 token 25 美元(約 HK$195),每百萬輸出token 125美元(約 HK$975)。
華府為何急召銀行高層
雖然 Anthropic 強調 Mythos Preview 屬於「防守導向」工具,但 Bessent 與 Powell 認為金融體系必須主動應對,根據 Bloomberg 及 The Hill 引述知情人士透露,今次會議主要目的是確保銀行高層認清 Mythos 級別模型可能令攻擊門檻急速下降,要求業界即時檢視自身防禦部署。會議當日有多名高層原本已身處華盛頓出席 Financial Services Forum 年度活動,財政部因而把握機會召集眾人。雖然 Project Glasswing 初期只有 JPMorgan Chase 一間銀行獲授權測試 Mythos,但市場消息指 Goldman Sachs、Citigroup、Bank of America 與 Morgan Stanley 亦正循其他途徑評估該模型。
今次合作出現於 Anthropic 與特朗普政府正陷入司法角力的敏感時刻,美國國防部早前將 Anthropic 列為「供應鏈風險」實體,因為雙方在軍事用途限制條款談判破裂,聯邦上訴法院本月亦駁回 Anthropic 要求暫緩制裁的申請。雖然如此財政部與聯儲局仍主動引導銀行界正視 Mythos,反映華府不同部門對 AI 風險的處理立場並不一致。
對企業的實際意涵
對銀行及大型企業而言,Mythos 事件帶出三項必須即時處理的營運課題,首先 AI 將大幅壓縮零日漏洞的發現速度,企業無法再依賴傳統補丁周期,而需要建立可以配合 AI 掃描節奏的漏洞管理流程。CrowdStrike 在公司網誌指出,2026 年《全球威脅報告》錄得運用 AI 的攻擊按年急增 89%,意味攻防雙方都正進入機器速度的對抗階段。
企業也應重新審視第三方軟件供應鏈,Mythos Preview 已在主流作業系統與瀏覽器找出大量未公開漏洞,企業內部即使程式碼質素達標,仍可能因外部組件而暴露於風險之中。 CIO 與資訊保安總監需要與供應商重新協商安全責任條款,並把 AI 輔助稽核納入採購標準。
隨着合規要求正同步收緊,歐盟《AI 法案》下一階段條文將於 2026 年 8 月 2 日生效,對高風險 AI 系統設下自動稽核、事故通報以及最高相當於全球營業額 3% 的罰則。對於業務橫跨歐美的金融機構而言,即使未直接部署 Mythos 級模型,亦需要證明自身有能力監控 AI 在環境內的運作軌跡。技術總監若未及早建立 AI 治理框架,將難以在短時間內補回合規缺口。
對於希望把握機會的企業,Mythos 事件也展示一條全新的防禦路線:以同級 AI 進行持續性紅隊演練、自動化滲透測試與程式碼審計,Katie Moussouris 旗下的 Luta Security 等業界專家認為,這種模式將令過往依賴人手的安全顧問業務出現結構性轉變,而能夠率先採購並整合 AI 防禦工具的企業,將在客戶信任度與保險費率談判上獲得明顯優勢。
未來趨勢與結語
Mythos Preview 的出現標誌人工智能正式進入「攻防同源」階段,同一款模型既可以協助 Microsoft、Google 等廠商修補核心系統,也可以在落入黑客手中後,把高階攻擊能力複製給技術門檻較低的攻擊者,Anthropic 表明計劃在下一代 Claude Opus 模型導入新的安全防護機制,期望可以為日後更廣泛部署 Mythos 級模型鋪路;OpenAI 亦已宣布旗下模型達到同等風險級別,並採取類似的限制發布策略。
可以預見未來 12 至 18 個月內,主要監管機構將陸續就 AI 網絡能力推出更具體的披露與測試要求,金融業更可能率先面對「AI 壓力測試」的監管雛形,對企業領袖而言今次事件最重要的重點並非 Mythos 本身有多強大,而是 AI 安全議題已由技術部門的內部討論,升格為董事會層級的策略風險。能否在 AI 攻防競賽中保持領先,將直接影響企業未來數年的營運韌性與市場信譽。
來源:TechCrunch