Bank of England convenes British banks for briefing on cyber risks of Anthropic's Mythos model

16 апреля Банк Англии поднял тему Claude Mythos Preview на уровень системного риска для всего финансового сектора. Регуляторы готовят отдельный брифинг для крупнейших банков, страховщиков и бирж после заявлений о том, что новая модель Anthropic способна автономно находить и использовать уязвимости в ключевом ПО — от операционных систем до браузеров. Речь идет о встречах в рамках Cross Market Operational Resilience Group (CMORG) — площадки, где координируют устойчивость финансовой инфраструктуры Великобритании.

В ней участвуют руководители восьми крупнейших банков страны, представители четырех инфраструктурных операторов, двух страховых групп, а также Минфина, Банка Англии, FCA и Национального центра кибербезопасности. Сам факт, что тема вынесена на этот уровень, показывает: проблему рассматривают не как очередную ИТ-новость, а как вопрос стабильности платежей, торговых площадок и критичных сервисов. Поводом стал Claude Mythos Preview — еще не выпущенная публично модель Anthropic, доступ к которой компания дает только ограниченному кругу партнеров.

По утверждению Anthropic, модель уже помогла выявить тысячи ранее неизвестных уязвимостей высокой критичности, включая баги в каждой крупной операционной системе и каждом крупном браузере. Компания также заявляет, что модель умеет не только находить слабые места, но и выстраивать цепочки эксплуатации почти без участия человека. Один из примеров — обнаружение способа, при котором вредоносный сайт может получить доступ к данным с другого сайта, включая банковские.

Отдельную тревогу у регуляторов вызывает то, что речь идет не о лабораторной демонстрации. Anthropic прямо объяснила, что не выводит Mythos Preview в широкий доступ именно из-за его кибервозможностей. Среди раскрытых примеров — 27-летняя уязвимость в OpenBSD, а также другие баги, которые годами не замечали ни эксперты, ни автоматические тесты.

Для банков это особенно чувствительно: значительная часть отрасли до сих пор опирается на сложный и неоднородный legacy-стек, где даже одна новая техника поиска эксплойтов может резко сократить время между обнаружением уязвимости и реальной атакой. На серьезность ситуации указывает и международная реакция. До этих британских встреч экстренные обсуждения уже прошли в США и Канаде.

В Вашингтоне тему поднимали Минфин США и Федеральная резервная система вместе с руководителями крупнейших системно значимых банков. Для регуляторов это сигнал, что frontier-модели начинают влиять не только на продуктивность разработчиков, но и на профиль системных рисков: если такие инструменты попадут к злоумышленникам или просто опередят готовность защитных команд, уязвимее окажутся именно самые важные узлы — платежи, клиринг, торговая инфраструктура и банковские веб-сервисы. Параллельно Anthropic запустила Project Glasswing — программу раннего контролируемого доступа для защитных команд.

В числе партнеров названы AWS, Apple, Google, Microsoft, Nvidia, Cisco и JPMorgan Chase. Компания обещает до 100 млн долларов в виде кредитов на использование Mythos и еще 4 млн долларов пожертвований организациям, которые занимаются безопасностью open source. Логика простая: дать защитникам фору, чтобы они успели найти и закрыть уязвимости раньше, чем похожие возможности станут массовыми у конкурентов или утекут в атакующий контур.

Главный вывод для финансового сектора в том, что AI-риск здесь уже перестал быть абстрактной темой про будущее. Если заявления Anthropic хотя бы частично подтвердятся в реальной практике, банкам придется ускорять инвентаризацию уязвимостей, пересматривать процессы патчинга и учиться использовать такие же модели для обороны. Иначе преимущество в скорости и масштабе впервые может перейти не к командам безопасности, а к тем, кто автоматизирует атаку.