Mythos AI vækker alarm i finanssektoren globalt

Den finansielle sektor behandler normalt cybertrusler som et driftsproblem. Med Anthropic-modellen Claude Mythos er tonen en anden. På IMF-mødet i Washington i denne uge blev spørgsmålet løftet helt op på minister- og centralbankniveau, efter at modellen ifølge udvikleren kan finde og udnytte sårbarheder i alle store operativsystemer og alle store browsere. ^[1]

IMF-mødet i Washington, D.C. illustrerer det geografiske fokus i diskussionen om Mythos og finansiel sikkerhed.

Det er et usædvanligt alvorligt krav. Og det er netop derfor, sagen bliver taget alvorligt, selv om den offentlige dokumentation stadig er begrænset.

Vil du læse artikler uden reklamer?

Tilmeld dig gratis og få uendelig adgang til alle artikler.

Hvad Mythos faktisk påstår

Anthropic offentliggjorde 7. april en teknisk forhåndsbeskrivelse af Mythos under navnet Project Glasswing. Her skriver selskabet, at modellen i testforløb den seneste måned har kunnet identificere og udnytte zero-day-sårbarheder på tværs af store softwareplatforme, herunder lukkede systemer. Ifølge Anthropic kan modellen også reverse engineere exploits og omdanne kendte, men endnu ikke bredt lappede fejl til brugbare angreb. ^[1] ^[2]

Det mest opsigtsvækkende er ikke bare, at modellen kan pege på svagheder, men at den ifølge selskabet kan kæde flere trin sammen til reelle angrebsforløb. Over 99 procent af de fundne sårbarheder er ikke beskrevet offentligt endnu, fordi de indgår i en koordineret disclosure-proces. Det betyder samtidig, at udenforstående i praksis ikke kan efterprøve de mest alvorlige påstande. ^[3]

Uafhængig kontrol er stadig tynd

Der findes dog en vigtig ekstern brik. Storbritanniens AI Security Institute offentliggjorde 13. april en evaluering, som peger på et markant spring i cyberkapacitet sammenlignet med tidligere frontier-modeller. I kontrollerede test med netværksadgang klarede Mythos sig bedre i svære capture-the-flag-opgaver og i simulerede, flertrins angreb mod sårbare netværk. ^[4]

Det er ikke det samme som en offentlig bekræftelse på, at modellen kan bryde alle store operativsystemer og browsere. Men det understøtter, at vi ikke kun taler om smart markedsføring. Der er tegn på en reel kapacitetsforbedring, især når modellen får lov til at arbejde autonomt over flere trin.

Hvorfor finanssektoren reagerer nu

Basel i Schweiz, hjemsted for BIS og FSB, der nævnes i forbindelse med internationale finansielle tilsyn og advarsler.

Banker, centralbanker og finansministerier frygter ikke kun et større antal angreb. De frygter hastighed, skala og koncentration. Hvis en model kan automatisere kortlægning af sårbarheder i kerne-it, betalingsinfrastruktur, browsermiljøer og cloud-afhængigheder, ændrer det trusselsbilledet fundamentalt.

Relateret artikel:

AI øger cyberrisikoen for nordiske banker

En klassisk bank kan måske håndtere enkelte målrettede angreb. Det bliver sværere, hvis nye AI-værktøjer kan gøre avanceret offensiv cyber billigere, hurtigere og mere reproducerbar. Særligt følsomme er systemer til betalinger, likviditetsstyring, markedsinfrastruktur og de softwarelag, som mange institutioner deler. Et hul i et fælles browsermiljø, en udbredt cloud-platform eller et standardiseret endpoint-setup kan hurtigt blive systemisk.

Det rammer direkte ned i advarsler, som både Financial Stability Board og BIS allerede har givet. De pegede sidste år på, at finanssektoren er sårbar over for koncentrationsrisici omkring få leverandører af AI, cloud og specialiseret infrastruktur. Hvis mange banker bygger på de samme teknologiske lag, kan ét gennembrud blive til et bredt chok. ^[5] ^[6]

Derfor får bankerne adgang før offentlig lancering

Ifølge BBC bliver store banker nu tilbudt tidlig adgang til Mythos, så de kan stressteste egne systemer, før modellen eventuelt bliver frigivet bredere. Det er i sig selv bemærkelsesværdigt. Normalt holder modeludviklere sig på armslængde fra den slags sektorvis beredskab. Her sker det modsatte: udvikleren forsøger at skabe et forsvarsvindue, før værktøjet slipper løs.

Det amerikanske finansministerium har også rejst sagen over for de største banker og opfordret dem til at teste deres modstandskraft. Signalet er klart: myndighederne vil ikke vente på et første stort AI-forstærket cyberangreb mod finanssektoren. ^[7]

Det store problem er usikkerheden

Den canadiske finansminister François-Philippe Champagne ramte kernen, da han beskrev truslen som et "unknown unknown". Markedet ved endnu ikke, om Mythos er begyndelsen på et nyt sikkerhedsregime eller en enkelt model med ekstraordinære evner. Men hvis Anthropic kan bygge dette, kan andre også forsøge. Og ifølge finanskilder nævnt af BBC kan en anden stor amerikansk AI-aktør være på vej med en lignende model, muligvis med svagere værn.

Det er her, nervøsiteten for alvor opstår. Ikke kun fordi én model kan være farlig, men fordi kapaciteten kan sprede sig hurtigere end den defensive sektor kan nå at opdatere systemer, procedurer og tilsyn.

Blik fremad

Det afgørende spørgsmål er ikke længere, om AI bliver en cyberfaktor i finans. Det er allerede tilfældet. Spørgsmålet er, om banker og myndigheder kan flytte sig fra almindelig cyberhygiejne til egentlig AI-beredskab, før offensive modeller bliver hverdag.

Hvis Mythos' stærkeste påstande holder, er det ikke bare en ny softwarelancering. Det er en stresstest af hele den finansielle sektors digitale modstandskraft.

Mythos AI bekymrer finansverdenen

Mythos AI vækker alarm i finanssektoren

Hvad Mythos faktisk påstår

Uafhængig kontrol er stadig tynd

Hvorfor finanssektoren reagerer nu

Derfor får bankerne adgang før offentlig lancering

Det store problem er usikkerheden

Blik fremad

Det Hvide Hus åbner for samarbejde om Mythos

Det Hvide Hus åbner for samarbejde om Mythos

Nævnte virksomheder

Emner

Snak om artiklen med andre

Læserens bedømmelse af artiklen