Метою цієї зустрічі було забезпечити, щоб усі банки повністю розуміли потенційні ризики, пов’язані з Mythos та подібними моделями, і вжили необхідні системні заходи захисту.

Автор статті, джерело: Лунь Юе, Wall Street Journal

Найновіша модель штучного інтелекту Mythos від Anthropic викликала високу увагу регуляторів США — два ключових фінансових регулятори США об’єднали зусилля й негайно запросили керівників провідних банків Волл-стріт до Вашингтона.

За останніми повідомленнями Bloomberg, міністр фінансів США Бейсент та голова ФРС Боллвел зібрали керівників головних банків Волл-стріт у вівторок цього тижня у штаб-квартирі Міністерства фінансів США у Вашингтоні, щоб обговорити потенційну кібербезпекову загрозу, пов’язану з останньою моделлю штучного інтелекту Anthropic — Mythos.

За інформацією осіб, знайомих із ситуацією, метою зустрічі було забезпечити, щоб усі банки повністю розуміли потенційні ризики, пов’язані з Mythos та подібними моделями, і вжили необхідні системні заходи для захисту. Представник Міністерства фінансів не відповів на запити з приводу коментарів, а представник ФРС відмовився коментувати.

Ця зустріч була організована в останню мить і не була попередньо оголошена — це саме по собі є сигналом: регулятори розглядають нові види кібератак як одну з найбільших загроз для фінансового сектору. Усі запрошені банки включені до списку системно важливих фінансових інституцій найвищими регуляторними органами, і їх стабільність безпосередньо впливає на глобальну фінансову систему.

Хто прийшов, а хто ні

За інформацією осіб, знайомих із ситуацією, на зустрічі присутні генеральні директори банків: Джейн Фрейзер з Citigroup, Тед Пік з Morgan Stanley, Брайан Мойніхан з Bank of America, Чарлі Шарф з Wells Fargo та Девід Соломон з Goldman Sachs. Генеральний директор JPMorgan Chase Джемі Даймон не зміг присутнім.

Представники всіх банків відмовилися коментувати, а представник Anthropic не відповів негайно.

Цей склад майже охоплює найбільші системно значущі банки США. Вибір регуляторів діалогу на рівні генеральних директорів, а не технічного чи відділу відповідності, свідчить про надзвичайну терміновість цього попередження.

Наскільки небезпечний Mythos?

За словами Anthropic, Mythos може «виявляти та використовувати вразливості в кожній основній операційній системі та веб-переглядачі» за командою користувача.

Це означає, що якщо ця модель потрапить у руки зловмисників, її атакувальна поверхня охоплює майже всю цифрову інфраструктуру. Для банків, які сильно залежать від цифрових систем для своєї діяльності, це не абстрактний ризик — у разі проникнення в основні системи можуть відбутися перерви в транзакціях, витік даних або навіть системні ланцюгові реакції.

З практичних даних видно, що здібності Mythos не є преувеличеннями. За попереднім матеріалом Wall Street Journal, ця модель виявила віддалений вузький місце в OpenBSD, який існував 27 років, а також вразливість у FFmpeg, закладену 16 років тому, яку автоматизовані інструменти сканували понад 5 мільйонів разів, але ніколи не спрацьовували. Крім того, вона самостійно поєднала кілька вразливостей у ядрі Linux, створивши повний атакувальний ланцюг для підвищення прав з звичайного користувача до повного контролю над машиною.

З цієї причини Anthropic дотримується надзвичайно обережної стратегії розгортання і наразі надає доступ лише декільком провідним технологічним та фінансовим установам, зокрема Amazon, Apple та JPMorgan Chase. Ці установи спільно беруть участь у проекті «Project Glasswing», метою якого є попереднє підсилення безпеки ключових систем до широкого поширення аналогічних моделей ШІ. Anthropic зазначила, що перед останнім релізом вона провела діалог з американськими чиновниками щодо «атакувальних та оборонних мережевих здібностей» Mythos.

«Неймовірно» — не відважуються публікувати: захисники «Project Glasswing» діють першими

У статті з Уолл-стріт зазначено, що у вівторок, 7 квітня, Anthropic оголосила про створення галузевого ініціативного проекту під назвою "Project Glasswing" у співпраці з Amazon, Apple, Microsoft, Cisco та іншими компаніями для надання інструментів, що дозволять використовувати їхній новий передовий моделю Claude Mythos Preview для сканування та виправлення вразливостей у критичній програмній інфраструктурі.

Anthropic зазначила, що саме через надзвичайно потужні можливості цієї моделі наразі немає планів її відкриття для загальної публіки. На цьому тлі Project Glasswing розглядається як превентивна дія, спрямована на використання цих можливостей у оборонних цілях до того, як вони поширяться на більш широкий коло суб’єктів.

Anthropic зазначила, що до запуску Mythos вона тривалий час взаємодіяла з офіційними особами США щодо своїх «навичок кібероборони та кібератак».

Головний інформаційний офіцер JPMorgan Chase Пат Опет сказав, що банк оцінить застосування цього інструменту для захисту фінансової критичної інфраструктури «строго та незалежно».

Варто зазначити, що Anthropic зараз перебуває у правовому спорі з урядом Трампа. Пентагон включив Anthropic до списку ризиків ланцюжка постачань, і Anthropic заперечує це. На тижні федеральний апеляційний суд відхилив прохання Anthropic призупинити це визнання.

Цей контекст робить стосунки між регуляторами та Anthropic ще більш складними — з одного боку, Міністерство фінансів і ФРС сприймають їхні моделі як системний ризик, який вимагає термінової реакції; з іншого боку, Anthropic продовжує зазнавати правового тиску з боку уряду.