Menteri Keuangan Scott Bessent dan Ketua Fed Jerome Powell mengadakan pertemuan mendesak dengan para pemimpin Wall Street minggu ini, melewati jadwal brief rutin dan mengajak para CEO bank ke dalam percakapan langsung tentang risiko siber yang didorong oleh AI.
Laporan mencatat bahwa pertemuan bertujuan untuk memastikan bank memahami risiko yang ditimbulkan oleh Mythos dan model serupa, serta sudah mengambil langkah-langkah pertahanan.
Ketika menteri keuangan dan ketua Fed secara bersama-sama memanggil para pemimpin bank ke ruang darurat, mereka menyampaikan bahwa risikonya bersifat sistemik.
Ironi yang mengalir melalui episode ini sangat tajam.
Pada 2 Maret, Departemen Keuangan, Luar Negeri, dan Kesehatan dan Layanan Manusia beralih untuk menghentikan penggunaan produk Anthropic, bertindak berdasarkan arahan presiden, dengan Bessent secara terbuka menyatakan bahwa Departemen Keuangan menghentikan seluruh penggunaan.
Pada 9 Mar, Administrasi Layanan Umum menghentikan kontrak pemerintah secara menyeluruh Anthropic. Pada 8 Apr, pengadilan banding federal menolak untuk menghentikan daftar blokir Anthropic oleh Departemen Pertahanan sambil litigasi berlanjut.
Jadi, pada minggu yang sama, pejabat mengelola proses pengadaan aktif dan sengketa keamanan nasional dengan Anthropic, sekaligus memperingatkan bank-bank terbesar di negara itu untuk bersiap menghadapi risiko yang ditimbulkan oleh kemampuan kelas Anthropic.
Apa yang sebenarnya diubah oleh Mythos
Dasar bukti untuk alarm resmi didasarkan pada materi milik Anthropic sendiri, yang lebih spesifik daripada klaim peluncuran model biasa.
Anthropic mengatakan Mythos telah menemukan ribuan kerentanan tingkat tinggi, termasuk kelemahan di setiap sistem operasi utama dan setiap browser web utama, dan bahwa lebih dari 99% di antaranya masih belum diperbaiki.
Kartu sistem perusahaan menggambarkan model tersebut mampu mengidentifikasi dan memanfaatkan zero-days di seluruh platform tersebut. Ini adalah jenis kemampuan yang, di tangan yang salah atau dirilis tanpa koordinasi, memperpendek timeline antara penemuan kerentanan dan serangan yang dimanfaatkan.
Respons Anthropic terhadap temuannya sendiri adalah membatasi akses di bawah struktur yang disebut Project Glasswing, membatasi rilis kepada mitra peluncuran termasuk Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks, ditambah lebih dari 40 organisasi tambahan yang membangun atau memelihara infrastruktur perangkat lunak kritis.
Anthropic berkomitmen hingga $100 juta dalam kredit penggunaan dan $4 juta dalam donasi kepada organisasi keamanan open-source sebagai bagian dari upaya tersebut.
Perusahaan juga mengatakan bahwa pihaknya telah memberikan brief kepada pejabat AS dan pemangku kepentingan utama sebelum rilis, yang berarti pertemuan Departemen Keuangan mencerminkan penilaian resmi yang didasarkan pada pengungkapan sebelumnya.
| Klaim / fakta Anthropic | Mengapa hal ini penting bagi bank dan regulator |
|---|---|
| Ribuan kerentanan tingkat tinggi ditemukan | Kemampuan yang disarankan bukanlah teoretis atau sempit |
| Kekurangan ditemukan di setiap sistem operasi utama | Mengimplikasikan luasnya permukaan serangan di seluruh infrastruktur bersama |
| Kekurangan ditemukan di setiap browser web utama | Memperluas eksposur di luar satu vendor atau satu stack |
| Lebih dari 99% masih belum diperbaiki | Meningkatkan urgensi terkait jadwal pertahanan |
| Model dapat mengidentifikasi dan memanfaatkan zero-days | Mengompres kesenjangan antara penemuan dan pemanfaatan |
| Akses dibatasi berdasarkan Project Glasswing | Sinyal bahkan Anthropic memandang rilis tersebut sebagai berisiko tinggi |
| 40+ organisasi infrastruktur tambahan yang terlibat | Menunjukkan kekhawatiran yang melampaui satu perusahaan ke ekosistem perangkat lunak inti |
| Pengarahan lanjutan kepada pejabat AS | Menyarankan bahwa respons Departemen Keuangan/Fed didasarkan pada pertimbangan, bukan teatrikal reaktif |
Bank-bank berada di pusat kekhawatiran ini karena mereka bergantung pada tumpukan perangkat lunak yang lebih luas.
Rencana Manajemen Risiko Sektor Jasa Keuangan Januari 2025 Departemen Keuangan mengidentifikasi konsentrasi cloud, rantai pasokan perangkat lunak, dan teknologi muncul teknologi, termasuk AI, sebagai risiko sektor utama, memperingatkan bahwa ketergantungan pada penyedia dan perangkat lunak umum menciptakan kondisi untuk kegagalan berantai.
Bank-bank berbagi penyedia cloud, vendor perangkat lunak, jalur pembayaran, dan sistem clearing di seluruh sektor. Kemampuan siber yang mampu secara efisien menemukan dan mengeksploitasi zero-days yang belum diperbaiki di setiap sistem operasi utama dapat menyerang sistem keuangan yang saling terhubung dengan kekuatan yang berlipat ganda.
Dalam lanskap ini, infrastruktur bersama berarti satu kelas kerentanan dapat mencapai setiap node secara bersamaan.
Jejak kebijakan yang menjadikan ini tak terhindarkan
Pada 18 Februari, Departemen Keuangan mengumumkan inisiatif publik-swasta yang secara eksplisit dirancang untuk mengembangkan alat-alat praktis bagi lembaga keuangan untuk mengelola risiko siber spesifik AI.
Pada 23 Maret, Departemen Keuangan dan Dewan Pengawas Stabilitas Keuangan meluncurkan Seri Inovasi AI, menyatakan bahwa wawasan dari inisiatif tersebut akan menjadi dasar bagi pekerjaan Departemen Keuangan dan FSOC dalam memperkuat ketahanan dan stabilitas keuangan seiring AI yang semakin melekat pada fungsi-fungsi keuangan inti.
Laporan keamanan siber Federal Reserve Juli 2025 menyebutkan penilaian risiko AI, memperkuat ketahanan cloud, dan menguji rencana respons insiden siber sebagai prioritas bersama FBIIC/FSSCC.
Washington juga telah membangun kerangka konseptual selama waktu yang lebih lama dari itu.
Pada Juni 2024, Departemen Keuangan dan FSOC menyelenggarakan konferensi tentang AI dan stabilitas keuangan. Pada acara tersebut, Menteri Keuangan saat itu Yellen mengidentifikasi kurangnya transparansi, manajemen risiko yang tidak memadai, dan konsentrasi di antara penyedia model, penyedia data, dan penyedia cloud sebagai saluran melalui mana AI dapat menciptakan kerentanan sistemik.
Laporan AI FSB November 2024 lalu merumuskan empat saluran kerentanan sistemik utama: ketergantungan pihak ketiga dan konsentrasi penyedia layanan, pasar korelasi, risiko siber, dan kegagalan model, data, serta tata kelola.
IMF secara terpisah menemukan bahwa serangan siber terhadap perusahaan keuangan menyumbang hampir 20% dari semua insiden yang ditelitinya, dan bahwa besarnya kerugian ekstrem telah meningkat menjadi $2,5 miliar.
Mythos memaksa pejabat untuk mengoperasionalkan kerangka risiko yang telah mereka bangun selama hampir dua tahun.
| Tanggal | Institusi | Acara | Mengapa hal ini penting |
|---|---|---|---|
| Jun. 2024 | Kas negara / FSOC | Konferensi tentang AI dan stabilitas keuangan | Membangun kerangka risiko sistemik sejak awal |
| Jun. 2024 | Yellen | Diperingatkan tentang kurangnya transparansi, manajemen risiko yang lemah, dan konsentrasi | Mengidentifikasi saluran kerentanan inti |
| Nov. 2024 | FSB | Laporan AI tentang saluran kerentanan sistemik | Kodifikasi kebijakan internasional |
| Jan. 2025 | Kas Negara | Rencana Manajemen Risiko Sektor Jasa Keuangan | Menyebut cloud, rantai pasok, dan AI sebagai risiko utama |
| Jul. 2025 | Federal Reserve | Laporan keamanan siber | Termasuk risiko AI, ketahanan cloud, dan latihan insiden |
| 18 Februari 2026 | Kas Negara | Inisiatif siber AI publik-swasta | Peralihan dari teori ke alat |
| 23 Mar. 2026 | Kas negara / FSOC | Serio Inovasi AI diluncurkan | Menghubungkan adopsi AI dengan ketahanan dan stabilitas |
| Apr. 2026 | Kas negara / Fed | Pertemuan mendesak CEO bank | Mengoperasikan kerangka kerja |
Kontradiksi antara penarikan pengadaan Washington dan peringatan stabilitas keuangannya dirancang untuk dilewati melalui dua jalur keputusan terpisah.
Memutuskan kontrak pemerintah dengan pemasok berdasarkan alasan rantai pasokan atau keamanan nasional adalah keputusan pengadaan dan kebijakan yang melewati satu rangkaian saluran tunggal. Menilai apakah kemampuan siber model frontier menciptakan risiko sistemik baru bagi sektor keuangan melewati rangkaian saluran yang sama sekali berbeda.
Pertemuan tersebut menjelaskan bahwa saluran-saluran tersebut mencapai kesimpulan yang sama mengenai kemampuan dari arah yang berlawanan, dan bahwa pejabat pengadaan beralih untuk membatasi eksposur pemerintah terhadap Anthropic sebagai vendor.
Pejabat stabilitas keuangan bergerak untuk memperingatkan bank-bank bahwa apa yang Anthropic telah bangun menimbulkan kategori risiko yang memerlukan perhatian segera.
Kedua reaksi tersebut mengandaikan penilaian mendasar yang sama: bahwa kemampuan kelas Mythos membawa konsekuensi operasional nyata.
Solusinya adalah bahwa kekhawatiran Washington terhadap apa yang dibangun Anthropic bertahan setelah Washington memutuskan hubungan dengan Anthropic sebagai vendor.
Apa yang bisa mengikuti
Dalam skenario bull, Project Glasswing berfungsi sesuai desain.
Anthropic dan mitranya mengidentifikasi dan memperbaiki kerentanan material sebelum kemampuan tiruan mencapai akses terbuka, bank-bank menyerap pengalaman ini sebagai latihan ketahanan terstruktur, dan kejadian ini menjadi demonstrasi pertama bahwa AI frontier can deliver manfaat bersih bagi pertahanan siber dengan menemukan kelemahan lebih cepat daripada lawan dapat mengeksploitasinya.
Pengumuman terbatas Anthropic, kumpulan mitranya, dan komitmen sumber dayanya mendukung kemungkinan ini, demikian pula fakta bahwa pejabat menerima pengarahan lanjutan, memasuki percakapan sebelum pengungkapan publik.
Dalam skenario bear, model frontier tambahan muncul dengan kemampuan ofensif yang sebanding atau lebih besar, atau pengungkapan seputar Mythos mengungkap timeline serangan yang lebih terkompresi daripada yang diakui secara publik dalam kerangka terkendali saat ini.
Departemen Keuangan, The Fed, dan regulator keuangan kemudian beralih dari peringatan pribadi ke harapan pengawasan yang lebih ketat: persyaratan asal perangkat lunak yang lebih ketat, tinjauan konsentrasi pemasok yang wajib, tenggat waktu pelaporan insiden yang lebih ketat, dan standar ketahanan operasional yang lebih ketat bagi bank yang berbagi ketergantungan cloud atau perangkat lunak yang sama.
Bahan FSB dan Departemen Keuangan sudah menyediakan dasar konseptual dan regulasi untuk eskalasi tersebut. Perkiraan kerugian ekstrem IMF dan peringatan FSB mengenai gangguan terhadap infrastruktur keuangan kritis menjelaskan mengapa pejabat beralih ke persiapan aktif tanpa menunggu insiden yang terbukti.
Seberapa cepat keseimbangan serangan-pertahanan berubah seiring semakin banyak laboratorium yang mendekati tingkat kemampuan yang serupa adalah variabel terbuka dalam kedua skenario.
Glasswing mengasumsikan bahwa akses terkoordinasi dan terkendali dapat mempertahankan keunggulan cukup lama agar patch dapat menutup celah yang ditemukan Mythos. Asumsi ini berlaku selama jarak antara akses frontier dan akses terbuka tetap cukup lebar untuk memberikan upaya tersebut daya ungkit yang nyata.
| Skenario | Pemicu | Respons kebijakan | Dampak terhadap bank |
|---|---|---|---|
| Kasus bull | Glasswing berfungsi, kerentanan diperbaiki, akses tetap terkendali | Koordinasi tertutup berlanjut, aturan baru terbatas | Bank-bank memperlakukan ini sebagai latihan ketahanan |
| Kasus dasar | Lebih banyak kekhawatiran, tetapi tidak ada insiden yang terlihat | Lebih banyak panduan, lebih banyak ujian, lebih banyak ulasan vendor | Tekanan yang lebih tinggi pada kepatuhan dan manajemen patch |
| Kasus beruang | Lebih banyak model menunjukkan kemampuan ofensif yang serupa | Harapan pengawasan yang lebih ketat, aturan asal perangkat lunak, tekanan pelaporan insiden | Beban operasional yang lebih besar dan perubahan kontrol yang lebih cepat |
| Risiko ekstrem | Gangguan material terkait eksposur perangkat lunak/awan bersama | Koordinasi bergaya krisis antara Departemen Keuangan, Fed, dan regulator | Kepercayaan pasar dan kelangsungan operasional menjadi perhatian utama |
Powell dan keputusan Bessent untuk mengumpulkan para CEO bank secara mendesak adalah pengakuan resmi paling jelas bahwa pejabat AS percaya bahwa jarak semakin mengecil lebih cepat daripada yang dapat diserap oleh postur siber sistem keuangan yang ada.
Pos Why Fed and Treasury leaders Powell, Bessent just rushed into a critical cyber-risk meeting muncul pertama kali di CryptoSlate.