รัฐมนตรีคลังสก็อตต์ เบสเซนต์ และประธานเฟดเจอเรมี พาวเวลล์ ได้จัดการประชุมเร่งด่วนกับผู้นำจากวอลล์สตรีทในสัปดาห์นี้ โดยข้ามขั้นตอนการรายงานประจำ และเชิญซีอีโอของธนาคารเข้าร่วมการพูดคุยโดยตรงเกี่ยวกับความเสี่ยงด้านไซเบอร์ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์
รายงานระบุว่าการประชุมมีเป้าหมายเพื่อให้ธนาคารเข้าใจความเสี่ยงที่ Mythos และโมเดลที่คล้ายกันก่อให้เกิด และได้ดำเนินการป้องกันอยู่แล้ว
เมื่อรัฐมนตรีว่าการกระทรวงการคลังและประธานเฟดเรียกหัวหน้าธนาคารเข้าห้องฉุกเฉินร่วมกัน พวกเขาสื่อสารว่าความเสี่ยงนั้นเป็นระบบ
ความขัดแย้งที่ไหลผ่านตอนนี้ชัดเจนมาก
เมื่อวันที่ 2 มี.ค. กระทรวงการคลัง กระทรวงการต่างประเทศ และกระทรวงสาธารณสุขและบริการมนุษย์ ดำเนินการหยุด การใช้ผลิตภัณฑ์ของ Anthropic ตามคำสั่งของประธานาธิบดี โดย Bessent ได้ประกาศอย่างเปิดเผยว่ากระทรวงการคลังกำลังเลิกใช้งานทั้งหมด
เมื่อวันที่ 9 มี.ค. สำนักงานบริการทั่วไปได้ยกเลิกสัญญา ของรัฐบาลทั่วทั้งหน่วยงาน ของ Anthropic เมื่อวันที่ 8 เม.ย. ศาลอุทธรณ์ของรัฐบาลกลาง ปฏิเสธที่จะระงับ การใส่ Anthropic ไว้ในรายการห้ามของกระทรวงกลาโหม ในขณะที่คดียังอยู่ในระหว่างการพิจารณา
ดังนั้น ในสัปดาห์เดียวกัน เจ้าหน้าที่กำลังจัดการข้อพิพาทด้านการจัดซื้อที่กำลังดำเนินอยู่และความมั่นคงแห่งชาติกับ Anthropic ในขณะเดียวกันก็เตือนธนาคารชั้นนำของประเทศให้เตรียมพร้อมรับมือกับความเสี่ยงที่เกิดจากความสามารถระดับ Anthropic
สิ่งที่ Mythos เปลี่ยนไปจริงๆ
พื้นฐานหลักฐานสำหรับการแจ้งเตือนอย่างเป็นทางการอิงจากวัสดุของ Anthropic เอง ซึ่งมีความเฉพาะเจาะจงมากกว่าคำอ้างทั่วไปในการเปิดตัวโมเดล
Anthropic ระบุว่า Mythos พบช่องโหว่ระดับความรุนแรงสูงนับพัน รวมถึงข้อบกพร่องในระบบปฏิบัติการหลักทุกระบบและเบราว์เซอร์เว็บหลักทุกตัว และกว่า 99% ของช่องโหว่เหล่านี้ยังไม่ได้รับการแก้ไข
บัตรระบบของบริษัทอธิบายว่ารุ่นนี้สามารถระบุและใช้ประโยชน์จากช่องโหว่ศูนย์วันบนแพลตฟอร์มเหล่านั้นได้ นี่คือความสามารถที่ หากอยู่ในมือที่ไม่เหมาะสมหรือเปิดเผยโดยไม่มีการประสานงาน จะบีบเวลาที่ผ่านไประหว่างการค้นพบช่องโหว่กับการโจมตีที่ใช้ประโยชน์จากช่องโหว่นั้น
การตอบสนองของ Anthropic ต่อผลการค้นพบของตนเองคือการจำกัดการเข้าถึงภายใต้โครงสร้างที่เรียกว่า Project Glasswing โดยจำกัดการเปิดตัวให้กับพันธมิตรเริ่มต้น ได้แก่ Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia, และ Palo Alto Networks รวมถึงองค์กรอีกมากกว่า 40 แห่งที่พัฒนาหรือดูแลโครงสร้างพื้นฐานซอฟต์แวร์ที่สำคัญ
Anthropic ได้ให้เครดิตการใช้งานสูงสุด 100 ล้านดอลลาร์สหรัฐ และบริจาค 4 ล้านดอลลาร์สหรัฐให้กับองค์กรด้านความปลอดภัยแบบโอเพ่นซอร์ส作為การดำเนินการนี้
บริษัทยังระบุว่าได้ชี้แจงแก่เจ้าหน้าที่สหรัฐฯ และผู้มีส่วนได้ส่วนเสียหลักก่อนเปิดตัว ซึ่งหมายความว่าการประชุมกระทรวงการคลังสะท้อนการตัดสินใจอย่างมีข้อมูลที่อิงจากการเปิดเผยล่วงหน้า
| ข้ออ้าง/ข้อเท็จจริงของ Anthropic | เหตุผลที่มีความสำคัญต่อธนาคารและหน่วยงานกำกับดูแล |
|---|---|
| พบช่องโหว่ระดับความรุนแรงสูงนับพัน | ความสามารถในการแนะนำไม่ใช่เรื่องทฤษฎีหรือจำกัด |
| พบข้อบกพร่องในระบบปฏิบัติการหลักทุกระบบ | บ่งชี้ถึงพื้นที่การโจมตีที่กว้างขวางข้ามโครงสร้างพื้นฐานที่ใช้ร่วมกัน |
| พบข้อบกพร่องในเว็บเบราว์เซอร์หลักทุกตัว | ขยายการเข้าถึงให้เกินกว่าผู้ให้บริการเดียวหรือสแต็กเดียว |
| ยังไม่ได้รับการซ่อมแซมมากกว่า 99% | เพิ่มความเร่งด่วนเกี่ยวกับกรอบเวลาการป้องกัน |
| โมเดลสามารถระบุและใช้ประโยชน์จากช่องโหว่ศูนย์วันได้ | บีบช่องว่างระหว่างการค้นพบกับการใช้งานในทางโจมตี |
| การเข้าถึงถูกจำกัดภายใต้โครงการ Glasswing | สัญญาณแม้แต่ Anthropic ก็พิจารณาว่าการเปิดตัวมีความเสี่ยงสูง |
| มีองค์กรโครงสร้างพื้นฐานเพิ่มเติมอีกมากกว่า 40 แห่งที่เกี่ยวข้อง | แสดงความกังวลว่าขยายออกไปเกินกว่าหนึ่งบริษัทไปยังระบบนิเวศของซอฟต์แวร์หลัก |
| การสรุปข้อมูลล่วงหน้าสำหรับเจ้าหน้าที่สหรัฐฯ | เสนอว่าการตอบสนองของกระทรวงการคลัง/เฟดมีข้อมูลรองรับ ไม่ใช่การแสดงที่ตอบสนองแบบไม่มีเป้าหมาย |
ธนาคารอยู่ใจกลางของความกังวลนี้ เพราะพวกเขาพึ่งพาชั้นซอฟต์แวร์โดยรวม
แผนการจัดการความเสี่ยงของกระทรวงการคลังสำหรับภาคบริการทางการเงินเดือนมกราคม 2025 ระบุว่า การรวมศูนย์ระบบคลาวด์ ห่วงโซ่อุปทานซอฟต์แวร์ และเทคโนโลยีใหม่ๆ ที่เกิดขึ้น เทคโนโลยี รวมถึง AI เป็น ความเสี่ยงหลักของภาคอุตสาหกรรม โดยเตือนว่า การพึ่งพาผู้ให้บริการและซอฟต์แวร์ร่วมกันสร้างเงื่อนไขที่ทำให้เกิดความล้มเหลวแบบลูกโซ่
ธนาคารแบ่งปันผู้ให้บริการคลาวด์ ผู้ผลิตซอฟต์แวร์ ระบบการชำระเงิน และระบบการชำระเงินระหว่างกันทั่วทั้งภาคอุตสาหกรรม ความสามารถทางไซเบอร์ที่สามารถค้นหาและใช้ประโยชน์จากช่องโหว่ศูนย์วันที่ยังไม่ได้รับการอัปเดตบนระบบปฏิบัติการหลักทุกระบบ สามารถโจมตีระบบการเงินที่เชื่อมโยงกันอย่างมีพลังเพิ่มขึ้นอย่างทวีคูณ
ในสภาพแวดล้อมนี้ โครงสร้างพื้นฐานที่ใช้ร่วมกันหมายความว่าช่องโหว่ประเภทเดียวสามารถเข้าถึงทุกโหนดพร้อมกัน
เส้นทางนโยบายที่ทำให้สิ่งนี้เป็นสิ่งที่หลีกเลี่ยงไม่ได้
เมื่อวันที่ 18 กุมภาพันธ์ กระทรวงการคลังได้ประกาศโครงการร่วมระหว่างภาครัฐและเอกชน โดยมีจุดประสงค์อย่างชัดเจนเพื่อพัฒนาเครื่องมือที่ใช้งานได้จริง เพื่อจัดการความเสี่ยงด้านไซเบอร์เซเคียวริตีที่เกี่ยวข้องกับ AI สำหรับสถาบันการเงิน
เมื่อวันที่ 23 มี.ค. กระทรวงการคลังและคณะกรรมาธิการกำกับดูแลความมั่นคงทางการเงิน ได้เปิดตัวชุดนวัตกรรมปัญญาประดิษฐ์ โดยระบุว่า ข้อมูลเชิงลึกจากชุดนี้จะเป็นแนวทางในการสนับสนุนงานของกระทรวงการคลังและ FSOC เพื่อเสริมสร้างความยืดหยุ่นและความมั่นคงทางการเงินขณะที่ปัญญาประดิษฐ์เข้ามามีบทบาทในหน้าที่ทางการเงินหลักๆ
รายงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของธนาคารกลางสหรัฐฯ เดือนกรกฎาคม 2025 ได้ระบุการประเมินความเสี่ยงจากปัญญาประดิษฐ์ การเสริมสร้างความยืดหยุ่นของระบบคลาวด์ และการทดสอบแผนรับมือเหตุการณ์ทางไซเบอร์ เป็นหนึ่งในลำดับความสำคัญร่วมของ FBIIC/FSSCC
วอชิงตันยังได้สร้างกรอบแนวคิดมานานกว่านั้น
ในเดือนมิถุนายน 2024 กระทรวงการคลังและ FSOC จัดการประชุม เกี่ยวกับ AI และความมั่นคงทางการเงิน ในการประชุมนี้ รัฐมนตรีว่าการกระทรวงการคลังในขณะนั้น ยีเลน ได้ระบุว่า ความไม่โปร่งใส การจัดการความเสี่ยงที่ไม่เพียงพอ และการรวมศูนย์ในหมู่ผู้ให้บริการโมเดล ผู้ให้บริการข้อมูล และผู้ให้บริการคลาวด์ เป็นช่องทางที่ AI อาจสร้างความเปราะบางเชิงระบบ
รายงานปัญญาประดิษฐ์ของ FSB ในเดือนพฤศจิกายน 2024 ได้ระบุช่องทางความเปราะบางเชิงระบบหลักสี่ประการ ได้แก่ ความพึ่งพาบุคคลที่สามและการรวมศูนย์ผู้ให้บริการ, ความสัมพันธ์ ของตลาด, ความเสี่ยงทางไซเบอร์, และความล้มเหลวของแบบจำลอง ข้อมูล และการกำกับดูแล
IMF ได้พบแยกต่างหากว่า การโจมตีทางไซเบอร์ต่อองค์กรทางการเงินคิดเป็น เกือบ 20% ของเหตุการณ์ทั้งหมดที่ศึกษา และขนาดของความสูญเสียอย่างรุนแรงได้เพิ่มขึ้นเป็น 2.5 พันล้านดอลลาร์
Mythos บังคับเจ้าหน้าที่ให้ดำเนินการใช้กรอบความเสี่ยงที่พวกเขาใช้เวลาเกือบสองปีในการสร้างขึ้น
| วันที่ | สถาบัน | กิจกรรม | เหตุผลที่มันสำคัญ |
|---|---|---|---|
| มิ.ย. 2024 | คลังทรัพย์ / FSOC | การประชุมเกี่ยวกับปัญญาประดิษฐ์และความมั่นคงทางการเงิน | การกำหนดกรอบความเสี่ยงเชิงระบบตั้งแต่เนิ่นๆ |
| มิ.ย. 2024 | เยลเลน | เตือนเกี่ยวกับความไม่โปร่งใส การจัดการความเสี่ยงที่อ่อนแอ และการรวมศูนย์ | ระบุช่องทางความเสี่ยงหลัก |
| พ.ย. 2024 | FSB | รายงาน AI เกี่ยวกับช่องทางความเปราะบางเชิงระบบ | การจัดทำรหัสนโยบายระดับนานาชาติ |
| ม.ค. 2025 | คลัง | แผนการจัดการความเสี่ยงสำหรับภาคบริการทางการเงิน | ระบุคลาวด์ ซัพพลายเชน และ AI เป็นความเสี่ยงหลัก |
| กรกฎาคม 2025 | เฟดERAL RESERVE | รายงานความปลอดภัยทางไซเบอร์ | รวมถึงความเสี่ยงด้านปัญญาประดิษฐ์ ความยืดหยุ่นของคลาวด์ และการฝึกซ้อมเหตุการณ์ |
| 18 ก.พ. 2026 | คลัง | โครงการไซเบอร์ปัญญาประดิษฐ์แบบสาธารณะ-เอกชน | เปลี่ยนจากทฤษฎีเป็นเครื่องมือ |
| 23 มี.ค. 2026 | คลังทรัพย์ / FSOC | เปิดตัวซีรีส์นวัตกรรม AI | เชื่อมโยงการนำ AI ของ Linked ไปสู่ความยืดหยุ่นและความมั่นคง |
| เม.ย. 2026 | คลังภาษี / เฟด | การประชุมซีอีโอธนาคารอย่างเร่งด่วน | ดำเนินการกรอบงาน |
ความขัดแย้งระหว่างการถอยหลังในการจัดซื้อของวอชิงตันกับคำเตือนเกี่ยวกับความมั่นคงทางการเงินของมันนั้น ได้รับการออกแบบมาให้ผ่านกระบวนการตัดสินใจสองชุดแยกจากกัน
การตัดสัญญาของรัฐกับผู้จัดจำหน่ายบนพื้นฐานของห่วงโซ่อุปทานหรือความมั่นคงแห่งชาติ เป็นการตัดสินใจด้านการจัดซื้อและนโยบายที่ผ่านช่องทางเดียวเท่านั้น การประเมินว่าความสามารถด้านไซเบอร์ของโมเดลยุคใหม่สร้างความเสี่ยงเชิงระบบใหม่สำหรับภาคการเงินหรือไม่ ต้องผ่านช่องทางอีกชุดหนึ่งโดยสิ้นเชิง
การประชุมชี้ให้เห็นว่าช่องทางเหล่านั้นได้สรุปผลเกี่ยวกับความสามารถในทิศทางที่ตรงข้ามกัน และเจ้าหน้าที่จัดซื้อจัดจ้างได้ดำเนินการเพื่อลดความเสี่ยงของรัฐบาลจากการใช้บริการจาก Anthropic เป็นผู้ขาย
เจ้าหน้าที่ด้านความมั่นคงทางการเงินได้เคลื่อนไหวเตือนธนาคารว่าสิ่งที่ Anthropic ได้สร้างขึ้น สร้างความเสี่ยงประเภทหนึ่งที่ต้องได้รับความสนใจอย่างเร่งด่วน
การตอบสนองทั้งสองอย่างต่างมีการตัดสินใจพื้นฐานเดียวกัน: ว่าความสามารถในระดับ Mythos มีผลเชิงปฏิบัติที่แท้จริง
ข้อสรุปคือความกังวลของวอชิงตันเกี่ยวกับสิ่งที่ Anthropic สร้างขึ้นยังคงอยู่แม้หลังจากวอชิงตันเลิกความสัมพันธ์กับ Anthropic เป็นผู้จัดจำหน่าย
อะไรอาจตามมา
ในกรณีที่ตลาดขาขึ้น โครงการ Glasswing ทำงานตามที่ออกแบบไว้
Anthropic และพันธมิตรของพวกเขาระบุและแก้ไขช่องโหว่ที่สำคัญก่อนที่ความสามารถแบบเลียนแบบจะเข้าถึงสาธารณะ ธนาคารรับประสบการณ์นี้เป็นการฝึกซ้อมความยืดหยุ่นที่มีโครงสร้าง และเหตุการณ์นี้กลายเป็นการสาธิตครั้งแรกที่แสดงให้เห็นว่า AI ระดับแนวหน้าสามารถส่งมอบ ผลลัพธ์สุทธิเชิงบวกต่อการป้องกันไซเบอร์ โดยการค้นพบจุดอ่อนได้เร็วกว่าคู่แข่งจะสามารถใช้ประโยชน์จากมัน
การเปิดตัวอย่างจำกัดของ Anthropic ชุดพันธมิตรของมัน และการผูกพันทรัพยากรของมัน สนับสนุนความเป็นไปได้นี้ รวมถึงข้อเท็จจริงที่ว่าเจ้าหน้าที่ได้รับการสรุปข้อมูลล่วงหน้า และเข้าร่วมการพูดคุยก่อนการเปิดเผยต่อสาธารณะ
ในกรณีที่ตลาดขาลง โมเดลขอบเขตเพิ่มเติมจะเข้ามาพร้อมความสามารถในการโจมตีที่เทียบเท่าหรือมากกว่า หรือการเปิดเผยข้อมูลเกี่ยวกับ Mythos จะเปิดเผยว่าระยะเวลาการโจมตีมีความเข้มข้นกว่าที่กรอบการสื่อสารอย่างเป็นทางการในปัจจุบันยอมรับ
กรมคลัง ธนาคารกลาง และหน่วยงานกำกับดูแลทางการเงิน จากนั้นจึงเปลี่ยนจากคำเตือนแบบส่วนตัวเป็นความคาดหวังในการกำกับดูแลที่เข้มงวดยิ่งขึ้น: ข้อกำหนดที่เข้มงวดเกี่ยวกับแหล่งที่มาของซอฟต์แวร์ การทบทวนความเข้มข้นของผู้ให้บริการอย่างบังคับ เวลาการรายงานเหตุการณ์ที่สั้นลง และมาตรฐานความยืดหยุ่นในการดำเนินงานที่เข้มงวดยิ่งขึ้นสำหรับธนาคารที่มีการพึ่งพาคลาวด์หรือซอฟต์แวร์ร่วมกัน
เอกสารของ FSB และกระทรวงการคลังได้ให้พื้นฐานเชิงแนวคิดและ การกำกับดูแล สำหรับการเพิ่มระดับดังกล่าวแล้ว การประมาณการความสูญเสียอย่างรุนแรงของ IMF และคำเตือนของ FSB เกี่ยวกับการรบกวนโครงสร้างพื้นฐานทางการเงินที่สำคัญ อธิบายว่าทำไมเจ้าหน้าที่จึงเคลื่อนไหวเพื่อเตรียมการอย่างแข็งขันโดยไม่รอให้เกิดเหตุการณ์ที่พิสูจน์ได้
ความเร็วที่สมดุลระหว่างการโจมตีและการป้องกันเปลี่ยนแปลงเมื่อห้องปฏิบัติการเพิ่มขึ้นไปสู่ระดับความสามารถที่คล้ายกัน เป็นตัวแปรที่ยังไม่แน่นอนในทั้งสองสถานการณ์
Glasswing สมมติว่าการเข้าถึงอย่างมีการประสานงานและควบคุมสามารถรักษาข้อได้เปรียบไว้ได้นานพอที่จะอัปเดตแพตช์เพื่อปิดช่องว่างที่ Mythos ค้นพบ การสมมตินี้ใช้ได้เฉพาะเมื่อช่องว่างระหว่างการเข้าถึงระดับหน้า前沿 กับการเข้าถึงแบบเปิดยังคงกว้างพอที่จะทำให้ความพยายามมีผลจริง
| สถานการณ์ | ทริกเกอร์ | การตอบสนองทางนโยบาย | ผลกระทบต่อธนาคาร |
|---|---|---|---|
| กรณีราคาขึ้น | Glasswing ใช้งานได้ ช่องโหว่ได้รับการแก้ไข การเข้าถึงยังคงถูกควบคุม | การประสานงานแบบปิดต่อเนื่อง กฎใหม่จำกัด | ธนาคารจัดการสิ่งนี้เป็นการซ้อมความยืดหยุ่น |
| กรณีพื้นฐาน | กังวลมากขึ้น แต่ไม่มีเหตุการณ์ที่มองเห็นได้ | คำแนะนำเพิ่มเติม การสอบเพิ่มเติม และรีวิวผู้ให้บริการเพิ่มเติม | ความกดดันที่สูงขึ้นด้านการปฏิบัติตามกฎระเบียบและการจัดการแพตช์ |
| กรณีหมี | โมเดลเพิ่มเติมแสดงความสามารถในการโจมตีที่คล้ายกัน | ความคาดหวังในการกำกับดูแลที่เข้มงวดขึ้น กฎเกณฑ์เกี่ยวกับแหล่งที่มาของซอฟต์แวร์ และแรงกดดันในการรายงานเหตุการณ์ | ภาระการดำเนินงานที่มากขึ้นและการเปลี่ยนแปลงการควบคุมที่เร็วขึ้น |
| ความเสี่ยงจากเหตุการณ์สุดขั้ว | การรบกวนวัสดุที่เกี่ยวข้องกับการเปิดเผยซอฟต์แวร์/คลาวด์ร่วม | การประสานงานแบบวิกฤตระหว่างกระทรวงการคลัง ธนาคารกลาง และหน่วยงานกำกับดูแล | ความมั่นใจของตลาดและการดำเนินงานอย่างต่อเนื่องกลายเป็นประเด็นสำคัญ |
Powell และ Bessent ตัดสินใจเรียกประชุมซีอีโอธนาคารอย่างเร่งด่วน เป็นการรับรองอย่างเป็นทางการที่ชัดเจนที่สุดว่าเจ้าหน้าที่สหรัฐฯ เชื่อว่าช่องว่างกำลังแคบลงเร็วกว่าที่ท่าทางด้านไซเบอร์ของระบบการเงินจะสามารถรับมือได้
โพสต์ Why Fed and Treasury leaders Powell, Bessent just rushed into a critical cyber-risk meeting ปรากฏครั้งแรกบน CryptoSlate