5月7日周四,国际货币基金组织(IMF)发出警告:以Anthropic公司Claude Mythos为代表的最新一代AI模型,正在将网络安全风险推升至可能引发"宏观金融冲击"的量级,并可能在金融系统层面造成"相关性失败"。这是IMF首次就最新AI模型带来的网络安全威胁专门发文。

IMF在博客文章中直接点名Mythos的近期受控发布,称其"凸显了风险上升的速度之快"。IMF还明确表示,金融机构的防线"不可避免"将被突破,呼吁各方将"韧性"——即限制事件扩散、确保快速恢复——列为优先事项。

这一警告的背景是:Mythos目前仅向40家以美国为主的机构开放,包括亚马逊、微软以及摩根大通等大型银行。大量非美国银行和金融机构尚未获得访问权限,由此引发外界对全球金融体系保护水平参差不齐的担忧。

Mythos究竟有多危险?

Anthropic上月披露,Mythos已"发现数千个高危漏洞,包括每个主流操作系统和浏览器中的漏洞"。Anthropic自己也警告称:"对经济、公共安全和国家安全的冲击可能是严重的。"

这意味着什么?简单来说,以往黑客需要花费大量时间和成本去寻找系统漏洞,而Mythos这类AI模型可以大幅压缩这一过程。

IMF高级官员在文章中写道:"先进AI模型能够大幅降低识别和利用漏洞所需的时间和成本,使得同时发现并攻击广泛使用系统中的弱点的可能性显著上升。"

更关键的是"同时"二字。金融机构普遍使用相同的软件和共享服务提供商,这意味着AI模型可能"在众多机构中同时制造漏洞"。一旦多家机构同时遭到攻击,IMF警告,"信心效应、支付中断、流动性紧张和甩卖动态可能随之而来"——这正是系统性风险的经典传导路径。

访问权限不均等,非美国机构暴露在外

Mythos目前处于受控发布阶段,获得访问权限的40家机构可以提前获知漏洞并进行"补丁"修复。但这一名单以美国机构为主,大量非美国银行和金融集团被排除在外。

据英国《金融时报》报道,已获得访问权限的公司表示,应对Mythos揭示的威胁,需要"公共和私营部门的联合行动"。

IMF对此明确指出:"网络风险不尊重国界。"它特别提到,新兴市场和发展中国家往往面临更严重的资源约束,可能"不成比例地暴露于针对防御薄弱地区的攻击者"。

这对全球金融体系而言意味着一个结构性隐患:防御最薄弱的环节,恰恰可能成为系统性风险的引爆点。

IMF的具体建议

IMF承认,金融软件"比开源基础设施更难攻击",但随即补充,这一优势"随着模型训练扩展、能力扩散和泄露的发生,可能很快被侵蚀"。

换言之,现有的相对安全只是暂时的。

IMF给出的应对建议包括:

IMF的核心逻辑是:与其寄望于"防住所有攻击",不如同时建立"被攻破后如何快速恢复"的能力。