Menteri Kewangan Scott Bessent dan Ketua Fed Jerome Powell mengadakan pertemuan mendesak dengan pemimpin Wall Street minggu ini, melangkau jadual perbincangan biasa dan mengajak CEO bank ke dalam perbincangan langsung mengenai risiko siber yang dipandu AI.
Laporan mencatat bahawa pertemuan bertujuan untuk memastikan bank memahami risiko yang ditimbulkan oleh Mythos dan model serupa serta sudah mengambil langkah-langkah pertahanan.
Apabila menteri perbendaharaan dan ketua Fed secara bersama-sama memanggil ketua-ketua bank ke dalam ruang mendesak, mereka sedang mengkomunikasikan bahawa risikonya adalah sistemik.
Ironi yang mengalir melalui episod ini tajam.
Pada 2 Mac, Kementerian Kewangan, Kerajaan, dan HHS bermula menghentikan penggunaan produk Anthropic, bertindak berdasarkan arahan presiden, dengan Bessent menyatakan secara awam bahawa Kementerian Kewangan menghentikan semua penggunaan.
Pada 9 Mac, Pentadbiran Perkhidmatan Umum menghentikan kontrak seluruh kerajaan Anthropic. Pada 8 April, mahkamah rayuan persekutuan menolak untuk menghalang senarai hitam Pentagon terhadap Anthropic sambil litigasi berterusan.
Jadi, pada minggu yang sama, pegawai-pegawai menguruskan perselisihan pembelian aktif dan keselamatan negara dengan Anthropic, sambil memperingatkan bank-bank terbesar negara itu untuk bersiap menghadapi risiko yang ditimbulkan oleh kemampuan kelas Anthropic.
Apa yang sebenarnya berubah pada Mythos
Dasar bukti bagi amaran rasmi berdasarkan bahan-bahan Anthropic sendiri, yang lebih spesifik berbanding dakwaan pelancaran model biasa.
Anthropic mengatakan bahawa Mythos telah menemui ribuan kelemahan keseriusan tinggi, termasuk kecacatan dalam setiap sistem pengendalian utama dan setiap peramban web utama, dan lebih daripada 99% daripadanya masih belum diperbaiki.
Kad sistem syarikat tersebut menggambarkan model tersebut sebagai mampu mengenal pasti dan memanfaatkan zero-days di seluruh platform tersebut. Ini adalah jenis kemampuan yang, di tangan yang salah atau dirilis tanpa koordinasi, memampatkan tempoh masa antara penemuan kerentanan dan serangan yang dipersenjatai.
Tindakan Anthropic terhadap dapatan sendiri adalah menghadkan akses melalui struktur yang dipanggil Project Glasswing, dengan membataskan pelancaran kepada rakan pelancaran termasuk Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, dan Palo Alto Networks, serta lebih daripada 40 organisasi tambahan yang membina atau mengekalkan infrastruktur perisian penting.
Anthropic berkomitmen hingga $100 juta dalam kredit penggunaan dan $4 juta dalam sumbangan kepada organisasi keselamatan sumber terbuka sebagai sebahagian daripada usaha tersebut.
Syarikat itu juga mengatakan ia telah memberi penerangan kepada pejabat AS dan pemangku utama sebelum pelancaran, yang bermakna pertemuan Kementerian Kewangan mencerminkan penilaian rasmi yang berasaskan pengungkapan awal.
| Klaim / fakta Anthropic | Mengapa ia penting kepada bank dan pengawal selia |
|---|---|
| Ribuan kelemalan keseriusan tinggi ditemukan | Kemampuan cadangan bukan teori atau sempit |
| Kekurangan ditemui dalam setiap sistem pengendalian utama | Mengimplikasikan permukaan serangan yang luas merentasi infrastruktur bersama |
| Kekurangan ditemui di setiap peramban web utama | Memperluas eksposur melampaui satu penjual atau satu tatanan |
| Lebih daripada 99% masih belum dipaip | Meningkatkan kegentingan mengenai jadual pertahanan |
| Model boleh mengenal pasti dan memanfaatkan zero-days | Mengurangkan jurang antara penemuan dan pemanfaatan |
| Akses dibatasi di bawah Projek Glasswing | Isyarat bahawa Anthropic pun memandang pelancaran sebagai berisiko tinggi |
| 40+ organisasi infrastruktur tambahan yang terlibat | Menunjukkan kebimbangan meluas melebihi satu syarikat kepada ekosistem perisian utama |
| Pengarahan lanjutan kepada pegawai-pegawai AS | Mencadangkan bahawa tindakan Baitul Mal/Fed adalah berasaskan maklumat, bukan teater reaktif |
Bank-bank berada di pusat kebimbangan ini kerana mereka bergantung kepada tumpukan perisian yang lebih luas.
Rancangan Pengurusan Risiko Sektor Perkhidmatan Kewangan Januari 2025 Kementerian Kewangan mengenal pasti kepekatan awan, rantai bekalan perisian, dan teknologi emergen teknologi, termasuk AI, sebagai risiko utama sektor, memperingatkan bahawa ketergantungan kepada vendor dan perisian yang sama mencipta kondisi untuk kegagalan berantai.
Bank-bank berkongsi penyedia awan, vendor perisian, rel pembayaran, dan sistem penggajian di seluruh sektor. Kemampuan siber yang mampu mencari dan memanfaatkan zero-days yang belum diperbaiki secara efisien di setiap sistem pengendalian utama boleh menyerang sistem kewangan yang saling terhubung dengan kekuatan yang berterusan.
Dalam lanskap ini, infrastruktur bersama bermaksud satu kelas kerentanan sahaja boleh mencapai setiap nod secara serentak.
Jejak dasar yang menjadikan ini satu kepastian
Pada 18 Februari, Kementerian Kewangan mengumumkan inisiatif awam-swasta yang secara eksplisit direka untuk membangunkan alat praktikal bagi institusi kewangan untuk mengurus risiko keselamatan siber khas AI.
Pada 23 Mac, Kementerian Kewangan dan Majlis Pengawasan Kestabilan Kewangan melancarkan Siri Inovasi AI, menyatakan bahawa wawasan daripadanya akan memberi maklumat kepada kerja Kementerian Kewangan dan FSOC dalam memperkukuh ketahanan dan kestabilan kewangan semasa AI mendarat secara menyeluruh dalam fungsi-fungsi kewangan utama.
Laporan keselamatan siber Federal Reserve Julai 2025 menyenaraikan penilaian risiko AI, memperkuat ketahanan awan, dan melatih pelaksanaan rancangan respons insiden siber sebagai antara keutamaan bersama FBIIC/FSSCC.
Washington juga telah membina kerangka konseptual selama lebih lama dari itu.
Pada Jun 2024, Kementerian Kewangan dan FSOC mengadakan konferensi mengenai AI dan kestabilan kewangan. Di sana, Menteri Yellen pada masa itu mengenal pasti ketidakterbukaan, pengurusan risiko yang tidak mencukupi, dan kepekatan di kalangan pembekal model, penyedia data, dan penyedia awan sebagai saluran melalui mana AI boleh mencipta kerentanan sistemik.
Laporan AI FSB November 2024 then codified four main systemic-vulnerability saluran: ketergantungan pihak ketiga dan konsentrasi penyedia perkhidmatan, pasar korelasi, risiko siber, dan kegagalan model, data, dan tata kelola.
IMF secara berasingan mendapati bahawa serangan siber terhadap syarikat-syarikat kewangan menimbulkan hampir 20% daripada semua insiden yang dikaji, dan saiz kerugian ekstrem telah meningkat kepada $2.5 bilion.
Mythos memaksa pejabat untuk mengoperasikan kerangka risiko yang telah mereka bina selama hampir dua tahun.
| Tarikh | Institusi | Acara | Mengapa ia penting |
|---|---|---|---|
| Jun. 2024 | Bendahari / FSOC | Konferen mengenai AI dan stabiliti kewangan | Mewujudkan kerangka risiko sistemik awal |
| Jun. 2024 | Yellen | Diwarnakan tentang ketidakterbukaan, pengurusan risiko yang lemah, dan konsentrasi | Saluran kerentanan utama yang dikenal pasti |
| Nov. 2024 | FSB | Laporan AI mengenai saluran kerentanan sistemik | Pengkodifikasian dasar antarabangsa |
| Jan. 2025 | Bendahari | Rancangan Pengurusan Risiko Sektor Perkhidmatan Kewangan | Menamakan awan, rantaian bekalan, dan AI sebagai risiko utama |
| Jul. 2025 | Federal Reserve | Laporan keselamatan siber | Mengandungi risiko AI, ketahanan awan, dan latihan insiden |
| 18 Februari 2026 | Bendahari | Inisiatif siber AI awam-swasta | Peralihan daripada teori kepada alat |
| 23 Mac 2026 | Bendahari / FSOC | Siri Inovasi AI dilancarkan | Menghubungkan pengambilan AI dengan ketahanan dankestabilan |
| Apr. 2026 | Bendahari / Fed | Mesyuarat Ketua Eksekutif bank yang mendesak | Mengoperasikan kerangka kerja |
Kontradiksi antara penarikan pengadaan Washington dan amaran kesetabilan keuangannya, secara sengaja, dilalui melalui dua lintasan keputusan yang berasingan.
Pemotongan kontrak kerajaan dengan pembekal atas alasan rantaian bekalan atau keselamatan negara adalah keputusan perolehan dan dasar yang mengalir melalui satu set saluran sahaja. Menilai sama ada kemampuan siber model hadapan mencipta risiko sistemik baharu untuk sektor kewangan berlaku melalui set yang berbeza sepenuhnya.
Pertemuan itu menjelaskan bahawa saluran-saluran tersebut mencapai kesimpulan yang sama mengenai kemampuan dari arah yang bertentangan, dan bahawa pegawai perolehan bergerak untuk membatasi eksposur kerajaan terhadap Anthropic sebagai pembekal.
Pegawai keselamatan kewangan bergerak untuk memperingatkan bank-bank bahawa apa yang Anthropic telah bina menimbulkan kategori risiko yang memerlukan perhatian segera.
Kedua-dua tindakan balas mengandaikan penilaian yang sama secara mendasar: bahawa kemampuan kelas Mythos membawa kesan operasi yang sebenar.
Penyelesaiannya ialah kebimbangan Washington terhadap apa yang dibina oleh Anthropic bertahan selepas Washington berpisah dengan Anthropic sebagai pembekal.
Apa yang mungkin mengikuti
Dalam kes beruang, Projek Glasswing berfungsi seperti yang direka.
Anthropic dan rakan-rakannya mengenal pasti dan membaiki kelemahan material sebelum kemampuan tiruan mencapai akses terbuka, bank-bank menyerap pengalaman itu sebagai latihan ketahanan yang terstruktur, dan episod ini menjadi demonstrasi pertama bahawa AI hadapan boleh memberi keuntungan bersih kepada pertahanan siber dengan menemui kelemahan lebih cepat daripada penyerang boleh memanfaatkannya.
Pengenalan terhadap Anthropic, set rakanannya, dan komitmen sumbernya menyokong kemungkinan ini, begitu juga fakta bahawa pegawai-pegawai menerima penerangan awal, memasuki perbincangan sebelum pengumuman awam.
Dalam kes beruang, model hadapan tambahan tiba dengan kemampuan serangan yang sebanding atau lebih besar, atau pengungkapan mengenai Mythos mengungkapkan jangka masa serangan yang lebih dipadatkan daripada yang diakui secara awam dalam kerangka kawalan semasa.
Bendahari, Fed, dan pengawas kewangan kemudian berpindah dari amaran peribadi kepada harapan pengawasan yang lebih ketat: keperluan asal perisian yang lebih ketat, tinjauan pemusatan vendor yang wajib, jangka masa pelaporan insiden yang lebih rapat, dan piawaian ketahanan operasi yang lebih ketat untuk bank-bank yang berkongsi ketergantungan awan atau perisian yang sama.
Bahan FSB dan Kementerian Kewangan sudah menyediakan asas konseptual dan peraturan untuk peningkatan itu. Anggaran kerugian ekstrem IMF dan amaran FSB mengenai gangguan kepada infrastruktur kewangan penting menjelaskan mengapa pejabat bergerak ke persiapan aktif tanpa menunggu insiden yang boleh ditunjukkan.
Seberapa pantas keseimbangan serangan-pertahanan berubah apabila lebih banyak makmal mendekati tahap kemampuan yang serupa ialah pemboleh ubah terbuka dalam kedua-dua senario.
Glasswing menganggap bahawa akses yang dikoordinasikan dan dikawal boleh mengekalkan keuntungan cukup lama untuk membenarkan pembaikian menutup jurang yang ditemui oleh Mythos. Anggapan ini berlaku selama jurang antara akses hadapan dan akses terbuka kekal cukup luas untuk memberikan usaha tersebut keberkesanan sebenar.
| Skenario | Pemicu | Tindakan dasar | Kesan terhadap bank |
|---|---|---|---|
| Kes kenaikan | Glasswing berfungsi, kerentanan diperbaiki, akses kekal dikawal | Koordinasi tertutup berterusan, peraturan baru terhad | Bank-bank menganggap ini sebagai latihan ketahanan |
| Kes asas | Lebih banyak kebimbangan, tetapi tiada insiden yang kelihatan | Lebih banyak panduan, lebih banyak peperiksaan, lebih banyak ulasan vendor | Tekanan yang lebih tinggi terhadap pematuhan dan pengurusan pembaikan |
| Kes beruang | Lebih banyak model menunjukkan kemampuan serangan yang serupa | Harapan pengawasan yang lebih ketat, peraturan asal perisian, tekanan pelaporan insiden | Beban operasi yang lebih besar dan perubahan kawalan yang lebih pantas |
| Risiko ekstrem | Gangguan bahan yang berkaitan dengan paparan perisian/awan bersama | Koordinasi bergaya krisis antara Kementerian Kewangan, Fed, dan pengawal selia | Keyakinan pasaran dan kesinambungan operasi menjadi perhatian utama |
Powell dan keputusan Bessent untuk menghimpun CEO bank secara segera adalah pengakuan rasmi yang paling jelas bahawa pegawai-pegawai AS percaya bahawa jarak semakin mengecil lebih pantas daripada yang boleh diserap oleh postur siber sistem kewangan yang sedia ada.
Pos Kenapa pemimpin Fed dan Baitul Mal Powell, Bessent segera masuk ke pertemuan risiko siber kritikal muncul pertama kali di CryptoSlate.