Hazine Bakanı Scott Bessent ve Fed Başkanı Jerome Powell, bu hafta Wall Street liderleriyle acil bir toplantı yaptı, rutin bilgilendirme takvimini atlayarak banka CEO'larını AI tabanlı siber risk üzerine doğrudan bir diyaloga dahil etti.
Raporlar, toplantının bankaların Mythos ve benzer modellerin sunduğu riskleri anladıklarından ve zaten savunma adımları attıklarından emin olmayı amaçladığını belirtti.
Hazine bakanı ve Fed başkanı, banka yöneticilerini acil bir odaya birlikte çağırdığında, riskin sistematik olduğunu iletiyorlar.
Bu bölümde akışan ironi keskin.
2 Mart'ta Hazine, Devlet ve HHS Anthropic ürünlerini kullanmayı durdurdu, bir başkanlık emri doğrultusunda harekete geçerek, Bessent, Hazine'nin tüm kullanımını sona erdirdiğini kamuoyuna duyurdu.
9 Mart'ta Genel Hizmetler İdaresi, Anthropic'in hükümet genelindeki sözleşmesini sonlandırdı. 8 Nisan'da, bir federal itiraz mahkemesi, dava devam ederken Pentagon'un Anthropic'i engelleme kararını engellemeyi reddetti.
Aynı hafta, yetkililer, Anthropic ile aktif bir satın alma ve ulusal güvenlik anlaşmazlığı yönetirken, aynı zamanda ülkenin en büyük bankalarını Anthropic sınıfı yeteneklerden kaynaklanan risklere hazırlanmaya uyardı.
Mythos aslında neyi değiştirdi
Resmi uyarı için kanıtsal temel, Anthropic'ın kendi materyallerinde yer alıyor ve bu materyaller tipik model başlatma iddialarından daha spesifik.
Anthropic, Mythos'un her büyük işletim sisteminde ve her büyük web tarayıcısında bulunan binlerce yüksek ciddiyetteki zafiyeti keşfettiğini söylüyor ve bunların %99'dan fazlasının hâlâ düzeltilmediğini belirtiyor.
Şirketin sistem kartı, modelin bu platformlar üzerindeki sıfır günleri tanımlama ve kullanma yeteneğine sahip olduğunu açıklıyor. Bu tür bir yetenek, yanlış elde bulunursa veya koordinasyonsuz yayınlanırsa, zafiyet keşfi ile silahlanan saldırı arasındaki zaman çizelgesini sıkıştırır.
Anthropic, kendi bulgularına yanıt olarak, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Vakfı, Microsoft, Nvidia ve Palo Alto Networks dahil olmak üzere bir dizi başlatma ortağıya erişimi sınırlayan Project Glasswing adlı bir yapı altında erişimi kısıtladı ve ayrıca kritik yazılım altyapısını oluşturan veya bakım yapan 40’tan fazla ek kurum dahil edildi.
Anthropic, bu çaba kapsamında kullanım kredileri olarak en fazla 100 milyon dolar ve bağışlar olarak 4 milyon dolar taahhüt etti.
Şirket, yayın öncesi ABD yetkilileri ve önemli paydaşları bilgilendirdiğini de belirtiyor, bu da Hazine toplantısının önceden yapılan açıklamaya dayalı bilgilendirilmiş bir resmi değerlendirme yansıttığını anlamına geliyor.
| Anthropic iddiası / gerçek | Bankalar ve düzenleyiciler için neden önemli |
|---|---|
| Binlerce yüksek ciddiyetteki zafiyet bulundu | Öneri özelliği teorik ya da dar değildir |
| Tüm büyük işletim sistemlerinde hatalar bulundu | Paylaşılan altyapı boyunca geniş saldırı yüzeyi ima eder |
| Her büyük web tarayıcısında hatalar bulundu | Bir tedarikçi veya bir yığın dışında bir alana genişler |
| %99'dan fazlası hâlâ tamir edilmemiş | Savunma zamanlamaları etrafında aciliyet artırıyor |
| Model, sıfır günleri tanımlayabilir ve kullanabilir | Keşif ve silahlanma arasındaki boşluğu daraltır |
| Project Glasswing altında erişim kısıtlandı | Sinyaller, Anthropic bile salımları yüksek risk olarak değerlendirdi |
| 40'ten fazla ek altyapı kuruluşu dahil | Endişenin bir şirketin ötesine, temel yazılım ekosistemlerine uzandığını gösteriyor |
| Amerika Birleşik Devletleri yetkililerine ileri düzey bilgilendirmeler | Hazine/Fed tepkisinin bilgilendirilmiş, reaktif bir tiyatro olmadığına işaret ediyor |
Bankalar, daha geniş yazılım yığınına bağımlı oldukları için bu endişenin merkezinde yer alıyor.
Hazine'nin Ocak 2025 Finansal Hizmetler Sektörü Risk Yönetimi Planı, bulut yoğunluğunu, yazılım tedarik zincirlerini ve yapay zeka dahil olmak üzere ortaya çıkan teknolojileri en önemli sektör riskleri olarak tanımlıyor ve ortak tedarikçiler ve yazılımlara bağımlılığın kaskat failure'ler için koşullar yarattığını uyarıyor.
Bankalar, sektör boyunca bulut sağlayıcıları, yazılım tedarikçileri, ödeme sistemleri ve temizleme sistemlerini paylaşır. Tüm büyük işletim sistemlerindeki düzeltilmemiş sıfır gün açıklarını etkili bir şekilde bulup istismar edebilen bir siber yetenek, birbirine bağlı bir finansal sistemi artan bir güçle hedefleyebilir.
Bu ortamda, paylaşılan altyapı, tek bir sınıf zafiyetin tüm node'lara aynı anda ulaşmasını sağlar.
Bu durumu kaçınılmaz hale getiren politika yolu
18 Şubat'ta Hazine, finansal kurumların AI-specific cybersecurity risks ile başa çıkabilmeleri için açıkça pratik araçlar geliştirmeyi amaçlayan bir kamu-özel ortaklığı duyurdu.
23 Mart'ta Hazine ve Finansal Stabilite Gözetim Kurulu Yapay Zeka İnovasyon Serisini başlattı ve bu seriden elde edilen bulguların, yapay zekanın temel finansal fonksiyonlar boyunca yerleşmesiyle birlikte direnç ve finansal istikrarı güçlendirmeye yönelik Hazine ve FSOC çalışmalarını yönlendireceğini belirtti.
Federal Reserve'in Temmuz 2025 cybersecurity raporu Yapay Zeka risklerinin değerlendirilmesini, bulut direncini güçlendirmeyi ve siber olay yanıtlama planlarını uygulamayı, ortak FBIIC/FSSCC öncelikleri arasında listeledi.
Washington, o süreden daha uzun bir zaman boyunca kavramsal çerçeveyi de inşa ediyordu.
Haziran 2024'te Hazine ve FSOC, AI ve finansal istikrar üzerine bir konferans düzenledi. Bu konferansta o zamanlar Bakan Yellen, AI'nın sistemik zayıflıklara yol açabilecek kanallar olarak modeller sağlayıcıları, veri sağlayıcıları ve bulut sağlayıcıları arasındaki şeffaflık eksikliğini, yetersiz risk yönetimi ve yoğunlaşmayı belirtti.
FSB'nin Kasım 2024 yapay zeka raporu dört ana sistemik zayıflık kanalını resmileştirdi: üçüncü taraf bağımlılıkları ve hizmet sağıcı yoğunluğu, pazar korelasyonları, siber riskler ve model, veri ve yönetim hataları.
IMF, finansal firmalara yönelik siber saldırıların incelenen tüm olayların yaklaşık %20'sini oluşturduğunu ve aşırı kayıpların 2,5 milyar dolara ulaştığını ayrı olarak tespit etti.
Mythos, neredeyse iki yıl boyunca inşa ettikleri bir risk çerçevesini faaliyete geçirmek zorunda bıraktı.
| Tarih | Kurumsal | Etkinlik | Neden önemli |
|---|---|---|---|
| Haz. 2024 | Hazine / FSOC | Yapay Zeka ve Finansal İstikrar Üzerine Konferans | Erken sistemik risk çerçevesi kuruldu |
| Haz. 2024 | Yellen | Şeffaflık eksikliği, zayıf risk yönetimi ve odaklanma konusunda uyarıldı | Tespit edilen temel zafiyet kanalları |
| Kas. 2024 | FSB | Sistemik-zafiyet kanalları üzerine AI raporu | Uluslararası politika kodifikasyonu |
| Oca. 2025 | Hazine | Finansal Hizmetler Sektörü Risk Yönetimi Planı | Adlandırılan bulut, tedarik zinciri ve Yapay Zeka en büyük riskler olarak |
| Tem. 2025 | Federal Reserve | Siber güvenlik raporu | Yapay zeka riskini, bulut dayanıklılığını ve olay egzersizlerini içerir |
| 18 Şubat 2026 | Hazine | Kamu-özel yapay zeka siber girişimi | Teoriden araçlara geçiş |
| 23 Mart 2026 | Hazine / FSOC | AI İnovasyon Serisi başlatılıyor | Bağlı Yapay Zeka, dirençlilik ve istikrarla ilişkilendirildi |
| Nis. 2026 | Hazine / Fed | Acil banka CEO toplantısı | Çerçeveyi işletmeye alındı |
Washington'ın satın alma gerilemesi ile finansal istikrar uyarısı arasındaki çelişki, tasarlanan şekilde iki ayrı karar yolunda yürütüldü.
Tedarik zinciri veya ulusal güvenlik nedenleriyle bir tedarikçiyle hükümet sözleşmelerini kesmek, tek bir kanal aracılığıyla akış gösteren bir satın alma ve politika kararıdır. Sınır modelinin siber yeteneklerinin finansal sektör için yeni sistemik riskler yaratıp yaratmadığını değerlendirmek ise tamamen farklı bir dizi kanal aracılığıyla gerçekleşir.
Toplantı, bu kanalların kapasiteyle ilgili aynı sonuca karşıt yollar izleyerek vardığını ve satın alma yetkililerinin hükümetin Anthropic'yi tedarikçi olarak kullanma maruziyetini sınırlamaya yöneldiğini açıkça ortaya koyuyor.
Finansal istikrar yetkilileri, Anthropic'ın oluşturduğu şeyin acil dikkat gerektiren bir risk kategorisi oluşturduğunu bankalara uyarıda bulundu.
İki tepsi de aynı temel yargıya dayanır: Mythos sınıfı kapasitenin gerçek bir operasyonel etkisi vardır.
Çözüm, Washington'un Anthropic ile tedarikçi ilişkisini kesmesine rağmen, Anthropic'in inşa ettikleri konusundaki endişesinin devam etmesidir.
Ne gelebilir
Kurumlu senaryoda, Project Glasswing tasarlandığı gibi çalışır.
Anthropic ve ortakları, kopya yeteneklerin açık erişime ulaşmadan önce önemli güvenlik açıklarını tespit edip düzeltir, bankalar bu deneyimi yapılandırılmış bir direnç egzersizi olarak değerlendirir ve bu olay, öncü AI'nın, saldırganların bunları kullanmadan önce kusurları daha hızlı bularak siber savunmaya net pozitif bir katkı sağlayabileceğini gösteren ilk kanıt olur.
Anthropic'ın sınırlı yayını, ortak seti ve kaynak taahhütleri bu olasılığı destekliyor; ayrıca yetkililerin kamuoyuna duyurulmadan önce önceden bilgilendirilmesi, tartışmaya kamuoyundan önce girmesini sağlıyor.
Kapalı senaryoda, karşılaştırılabilir veya daha büyük saldırı yeteneklerine sahip ek ön plan modelleri ortaya çıkar ya da Mythos ile ilgili açıklamalar, şu anda kamuoyuna sunulan kontrollü çerçeveden daha sıkıştırılmış bir saldırı zaman çizelgesi ortaya koyar.
Hazine, Fed ve finansal düzenleyiciler, özel uyarılar yerine daha katı denetim beklentilerine geçer: daha katı yazılım kökeni gereksinimleri, zorunlu tedarikçi yoğunluğu incelemeleri, daha sıkı olay raporlama süreleri ve ortak bulut veya yazılım bağımlılıklarına sahip bankalar için daha titiz operasyonel direnç standartları.
FSB ve Hazine materyalleri, bu yükselti için kavramsal ve düzenleyici temeli zaten sağlıyor. IMF'nin aşırı kayıp tahminleri ve FSB'nin kritik finansal altyapıya yönelik uyarıları, yetkililerin bir kanıtlanabilir olay beklemeksizin aktif hazırlığa geçmesinin nedenini açıklıyor.
Daha fazla laboratuvar benzer kapasite seviyelerine ulaştıkça saldırı-defans dengesinin ne kadar hızlı değişeceği, her iki senaryoda da açık değişkendir.
Glasswing, koordine edilmiş ve kontrollü erişimin, Mythos'un bulduğu açıkları kapatmak için yama yapılmak üzere yeterince uzun bir avantaj sağlayabileceğini varsayar. Bu varsayım, öncü erişim ile açık erişim arasındaki boşluğun, çabanın gerçek bir etki yaratabilmesi için yeterince geniş kalması süresince geçerlidir.
| Senaryo | Tetikleyici | Politika yanıtı | Bankalara etki |
|---|---|---|---|
| Tavsiye durumu | Glasswing çalışıyor, güvenlik açıkları düzeltiliyor, erişim kontrol altında kalıyor | Devam eden kapalı kapılar altında koordinasyon, sınırlı yeni kurallar | Banklar bunu bir direnç egzersizi olarak değerlendiriyor |
| Temel durum | Daha fazla endişe, ancak görünür bir olay yok | Daha fazla rehberlik, daha fazla sınav, daha fazla tedarikçi incelemesi | Daha yüksek uyumluluk ve düzeltme yönetimi baskısı |
| Kapalı durum | Daha fazla model benzer saldırganlık yeteneği gösteriyor | Daha sıkı denetim beklentileri, yazılım kökeni kuralları, olay raporlama baskısı | Daha büyük operasyonel yük ve daha hızlı kontrol değişiklikleri |
| Kuyruk riski | Paylaşılan yazılım/cloud maruziyetiyle ilişkili malzeme aksaklığı | Hazine, Fed ve düzenleyiciler arasında kriz tarzı koordinasyon | Piyasa güveni ve operasyonel süreklilik ana endişe noktaları haline geliyor |
Powell ve Bessent'in banka CEO'larını acil bir şekilde toplama kararı, ABD yetkililerinin, mesafenin finansal sistemin mevcut siber durumunun absorbe edebildiğinden daha hızlı daraldığını düşündüğünün en açık resmi kabulüdür.
Neden Fed ve Hazine liderleri Powell ve Bessent kritik bir siber risk toplantısına acele etti gönderisi önce CryptoSlate'de yayınlandı.