ASIC 警告金融機構 AI 網路攻擊風險

澳洲證券與投資委員會（ASIC）警告金融機構要加強資安防禦，並援引像 Anthropic 的 Mythos 這類先進 AI 模型，指出其可能暴露軟體漏洞，根據 Reuters。ASIC 委員 Simone Constant 表示，機構應在威脅變得更清楚之前就採取行動，並專注於基本的資安韌性措施。

監管背景

該警告是在澳洲審慎監管局（Australian Prudential Regulation Authority）於一個月前發布自身警示之後出現的，內容聚焦於安全實務在難以跟上 AI。劍橋替代金融中心（Cambridge Centre for Alternative Finance）的另一項研究發現，只有 20% 的監管機構已採用進階 AI，而監督者在追蹤新興危害方面落後於金融機構。

Mythos 之漏洞利用能力

Anthropologic 的 Mythos Preview 不僅能辨識漏洞，還能替軟體漏洞撰寫可運作的漏洞利用程式。該模型獨立發現並利用了 OpenBSD（一款為安全而打造的開源作業系統）中一個已存在 27 年的錯誤。Mythos 亦使用 CVE-2026-4747，透過 FreeBSD 上的網路檔案系統（Network File System，NFS）以 root 達成遠端程式碼執行，FreeBSD 同樣是一款開源作業系統。

Anthropic 表示，該模型在主要作業系統與網頁瀏覽器中找到了成千上萬項高嚴重性漏洞，其中許多已多年甚至數十年未被察覺。Mythos Preview 的存取受限，而 Project Glasswing 彙整了 Amazon Web Services、Apple 的安全團隊、Google、Microsoft、NVIDIA 等單位，目標是在類似工具擴散之前先保護廣泛使用的軟體。

對資安攻擊經濟面的影響

這項能力顯著改變了發動網路攻擊的成本與時程。過去被視為低風險的漏洞，現在因 Mythos Preview 能在數小時內建立漏洞利用程式而引起更大關注。先前接受採訪的資深滲透測試人員表示，若用傳統方法，這類工作要花上數週。這種轉變意味著金融機構與其他組織可能需要更快的修補週期，以及更自動化的防禦。

針對其他前沿 AI 模型的測試顯示，先進資安能力會伴隨更廣泛的 AI 進展，指出該威脅很可能會持續成長。

常見問答（FAQ）

Mythos 是什麼？為何會成為金融機構的關注點？

Mythos 是 Anthropic 的先進 AI 模型，能辨識軟體漏洞並撰寫可運作的漏洞利用程式。ASIC 警告金融機構是因為 Mythos 可能揭露廣泛使用系統中的安全漏洞，進而把發動網路攻擊所需的時間與成本，從前置條件降到等同 API key 的價格。該模型已展示出能在作業系統與網頁瀏覽器中找出成千上萬項高嚴重性漏洞的能力。

Mythos 產生漏洞利用程式的速度，比傳統方法快多少？

Mythos 能在數小時內建置漏洞利用程式；而資深滲透測試人員表示，若採用傳統方法，要完成相同工作將需要數週。這種加速在根本上改變了資安經濟模型與修補漏洞的迫切性。

監管機構正在做什麼來因應由 AI 驅動的資安風險？

ASIC 建議金融機構在威脅變得更清楚之前先強化資安防禦，並聚焦於基本的資安韌性措施。澳洲審慎監管局也就安全實務落後於 AI 發展發布了類似警告。Project Glasswing 涵蓋主要科技與雲端公司，工作重點是在類似漏洞利用程式產生工具變得普遍之前先保護廣泛使用的軟體。