ASIC เตือนบริษัทการเงินเกี่ยวกับความเสี่ยงไซเบอร์จาก AI

คณะกรรมการหลักทรัพย์และการลงทุนออสเตรเลีย (ASIC) เตือนบริษัทการเงินให้เสริมความแข็งแกร่งด้านการป้องกันไซเบอร์ โดยอ้างว่ารูปแบบ AI ขั้นสูง เช่น Mythos ของ Anthropic ทำให้เห็นช่องโหว่ในซอฟต์แวร์ รายงานของ Reuters ระบุว่า Simone Constant กรรมการของ ASIC กล่าวว่า บริษัทควรลงมือก่อนที่ภัยคุกคามจะชัดเจนขึ้น และให้ความสำคัญกับมาตรการพื้นฐานเพื่อความทนทานต่อภัยไซเบอร์

บริบทด้านกฎระเบียบ

คำเตือนดังกล่าวเกิดขึ้นหนึ่งเดือนหลังจาก Australian Prudential Regulation Authority ออกประกาศเตือนของตนเองเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่รับมือกับ AI ไม่ไหว งานวิจัยแยกจาก Cambridge Centre for Alternative Finance พบว่าเพียง 20% ของหน่วยงานกำกับดูแลเท่านั้นที่นำ AI ขั้นสูงมาใช้ และผู้กำกับดูแลตามหลังบริษัทการเงินในการติดตามอันตรายที่กำลังเกิดขึ้น

ความสามารถในการโจมตีที่อาศัย Mythos

Mythos Preview ของ Anthropologic ไม่ได้จำกัดแค่การระบุช่องโหว่เท่านั้น—มันสามารถเขียนโค้ดเอ็กซ์พลอยต์ที่ใช้งานได้จริงสำหรับข้อบกพร่องของซอฟต์แวร์ โมเดลสามารถค้นพบและใช้ประโยชน์จากบั๊กที่มีอายุมากถึง 27 ปีใน OpenBSD ซึ่งเป็นระบบปฏิบัติการโอเพนซอร์สที่พัฒนาขึ้นเพื่อความปลอดภัย นอกจากนี้ Mythos ยังใช้ CVE-2026-4747 เพื่อให้เกิดการรันโค้ดระยะไกลในระดับ root ผ่าน Network File System (NFS) บน FreeBSD ซึ่งเป็นระบบปฏิบัติการโอเพนซอร์สอีกตัวหนึ่ง

Anthropic ระบุว่าโมเดลพบช่องโหว่ระดับความรุนแรงสูงหลายพันรายการในระบบปฏิบัติการและเว็บเบราว์เซอร์รายใหญ่ โดยจำนวนมากตรวจไม่พบมานานหลายปีหรือหลายทศวรรษ การเข้าถึง Mythos Preview ถูกจำกัด และ Project Glasswing รวบรวม Amazon Web Services ทีมความปลอดภัยของ Apple ทีมของ Google Microsoft NVIDIA และอื่นๆ เพื่อทำให้ซอฟต์แวร์ที่ถูกใช้งานอย่างแพร่หลายปลอดภัยก่อนที่เครื่องมือคล้ายกันจะแพร่กระจาย

ผลกระทบต่อเศรษฐศาสตร์ความปลอดภัยไซเบอร์

ความสามารถดังกล่าวเปลี่ยนต้นทุนและระยะเวลาสำหรับการเปิดฉากโจมตีไซเบอร์อย่างมีนัยสำคัญ บั๊กที่เคยถือว่าเสี่ยงต่ำกลับกลายเป็นประเด็นที่น่ากังวลมากขึ้น เพราะ Mythos Preview สามารถสร้างเอ็กซ์พลอยต์ได้ภายในไม่กี่ชั่วโมง งานที่ผู้ทดสอบเจาะระบบผู้เชี่ยวชาญระบุว่าจะใช้เวลาหลายสัปดาห์ด้วยวิธีการแบบดั้งเดิม ส่งผลให้บริษัทการเงินและองค์กรอื่นๆ อาจต้องมีรอบการอัปเดตแพตช์ที่เร็วขึ้นและมีระบบป้องกันที่ทำงานอัตโนมัติมากขึ้น

การทดสอบกับโมเดล AI แถวหน้าอื่นๆ บ่งชี้ว่าทักษะไซเบอร์ขั้นสูงมาพร้อมความก้าวหน้าด้าน AI ที่กว้างขึ้น ซึ่งชี้ว่าภัยคุกคามมีแนวโน้มจะทวีความรุนแรงขึ้น

FAQ

Mythos คืออะไร และเหตุใดจึงเป็นความกังวลสำหรับบริษัทการเงิน?

Mythos คือโมเดล AI ขั้นสูงของ Anthropic ที่สามารถระบุช่องโหว่ของซอฟต์แวร์และเขียนเอ็กซ์พลอยต์ที่ใช้งานได้จริง ASIC เตือนบริษัทการเงินเพราะ Mythos สามารถเปิดเผยจุดอ่อนด้านความปลอดภัยในระบบที่ใช้งานอย่างแพร่หลาย ทำให้เวลารวมถึงค่าใช้จ่ายที่ใช้ในการเปิดฉากโจมตีไซเบอร์ลดลง เหลือเพียงราคาของคีย์ API โมเดลแสดงให้เห็นความสามารถในการค้นพบช่องโหว่ระดับความรุนแรงสูงหลายพันรายการในระบบปฏิบัติการและเว็บเบราว์เซอร์

Mythos สร้างเอ็กซ์พลอยต์ได้เร็วแค่ไหนเมื่อเทียบกับวิธีแบบดั้งเดิม?

Mythos สามารถสร้างเอ็กซ์พลอยต์ได้ภายในไม่กี่ชั่วโมง ขณะที่ผู้ทดสอบเจาะระบบผู้เชี่ยวชาญกล่าวว่างานเดียวกันจะใช้เวลาหลายสัปดาห์ด้วยวิธีแบบดั้งเดิม ความเร่งดังกล่าวเปลี่ยนสมการด้านความปลอดภัยไซเบอร์อย่างรากฐาน และเพิ่มความเร่งด่วนในการแพตช์ช่องโหว่

หน่วยงานกำกับดูแลกำลังทำอะไรเพื่อรับมือความเสี่ยงไซเบอร์ที่ขับเคลื่อนด้วย AI?

ASIC แนะนำให้บริษัทการเงินเสริมความแข็งแกร่งด้านการป้องกันไซเบอร์ และเน้นมาตรการความทนทานต่อภัยไซเบอร์พื้นฐานก่อนที่ภัยคุกคามจะชัดเจนขึ้น Australian Prudential Regulation Authority ออกคำเตือนที่คล้ายกันเกี่ยวกับแนวทางด้านความปลอดภัยที่ตามหลังพัฒนาการของ AI Project Glasswing ซึ่งเกี่ยวข้องกับบริษัทเทคโนโลยีและคลาวด์รายใหญ่ ทำงานเพื่อทำให้ซอฟต์แวร์ที่ใช้กันอย่างแพร่หลายปลอดภัยก่อนที่เครื่องมือสร้างเอ็กซ์พลอยต์ลักษณะเดียวกันจะแพร่หลาย