Anthropic 发布的 Claude Mythos 模型让关键业务技术的运营者们重新绷紧了神经。据报道，该模型在名为 "Project Glasswing" 的受限计划下发布，已识别出各大操作系统和浏览器中的数千个高危软件漏洞。Anthropic 的表述异常严峻：使该模型对国防具备价值的相同能力，若扩散至不受信任者手中，将对经济体系和公共安全造成严重危害。

对于金融生态系统中的任何企业——从支付提供商、核心银行平台到处理大量交易的商户——这并非抽象担忧，而是关乎软件栈、供应商依赖以及漏洞隐藏时长的现实风险。

真正的新变化

漏洞研究历来是一场不对称博弈：防御者必须处处正确，而攻击者只需成功一次。尽管重大泄露事件在银行业相对罕见，但前沿人工智能（Frontier AI）正在改变这种不对称性的经济学逻辑。

能够以机器速度读取、推理并串联代码库漏洞的模型，大幅压缩了从发现到利用的时间，并降低了技能门槛。政策制定者并未忽视这一转变。在本月的国际货币基金组织（IMF）和世界银行春季会议上，高层已将 AI 驱动的网络安全风险视为当前的金融稳定关切。

IMF 总裁克里斯塔利娜 · 格奥尔基耶娃警告称，目前世界缺乏保护国际货币体系免受此类规模网络风险的工具，风险正呈指数级增长。在生产环境中存活十年或更久的遗留组件，过去依靠 " 隐蔽性 " 和高昂利用成本获得保护，但这种保护正在减弱。一年前尚可容忍的技术债务，如今已成为实时暴露的风险，尤其是在机构共享通用云提供商、开源库或标准的背景下。

量子计算的应对启示

若 AI 讨论令人不知所措，量子计算的应对先例值得参考。在大规模量子计算机出现前的几年，金融行业便已开始准备。国际清算银行（BIS）与法国央行、德国联邦银行合作启动 "Leap 项目 "，测试使用后量子算法重新加密中央银行通信。随后，Swift、意大利银行和 Nexi 等机构加入，在运营支付系统中应用抗量子签名。

Leap 项目的实质内容重要，其形态更为关键。银行、支付网络运营商、商业基础设施提供商和标准制定机构，围绕一个预计十年内不会出现的威胁进行了协调。他们建立混合方案，测试互操作性，并公开发布调查结果。

这带来两个教训：第一，当案例清晰且技术基础工作在公开环境下奠定时，金融基础设施有能力围绕新颖威胁集结力量；第二，这项工作缓慢且不引人注目，且在威胁落地前几年就已开始。那些等待确认量子突破后才预算加密敏捷性的企业已落后数年。AI 驱动的网络安全亦是如此，但时间跨度是以月和季度计算，而非几十年。

对商业技术领导者的意义

对 CIO 和 CISO 而言，紧迫问题不在于 Mythos 本身（仍处于受控访问中），而在于接下来会发生什么。Anthropic 对此风险保持开放，但其他实验室未必如此，且同等能力在未来一年内可能更广泛可用。规划应假设该技术进攻面将在监管跟上之前扩散。

基于此假设，通常会有三个实际转变：首先，漏洞管理需成为由 AI 辅助的持续过程，而非季度性任务，因为人工修补速度无法跟上机器发现节奏；其次，第三方风险评估必须纳入 AI 模型提供商及其托管平台的安全态势，而非仅关注传统软件供应商；第三，红队测试必须包括配备前沿推理能力的对手，而非使用过时的工具。

同时，在防御侧负责任地部署这些模型，堪称该行业十年来最大的机遇。Glasswing 项目的合作伙伴已使用 Mythos 查找并修补广泛部署代码中的长期漏洞。若将此工作扩展至整个金融供应链，可能会以传统工具从未做到的方式，将平衡重新转向防御方。

责任必须伴随能力

量子努力留下的最后一条教训是文化层面的。领导 Leap 项目的机构将韧性视为共同义务，而非竞争优势。AI 时刻需要同样的本能。监管终将到来，但在可预见的未来，它将滞后于能力发展。

在此期间，能够完好无损度过这一时期的企业，将是那些在规则制定初期就认真对待问责制的企业。能力日益丰富，但问责制目前仍是稀缺资源。

【星途科讯 图文丨司徒景琛】