人工智能发现当年由程序员写的各类网络平台的电脑代码漏洞百出，西方金融界与政府紧急探讨堵漏措施

（大中网/096.ca讯） 加拿大环球邮报（Globe and Mail）报道说，美国 AI 研究公司 Anthropic 专注于构建安全、可靠人工智能系统，他们最近推出的新一代人工智能模型引发了一场网络安全“军备竞赛”，各类机构纷纷加紧识别并修补系统漏洞，以防止被别有用心的人轻易加以利用。

总部位于旧金山的 Anthropic 决定暂时不向公众发布其强大的新模型 Mythos，因为该模型可能被黑客滥用。

相反，Anthropic 将该模型的预览版本提供给包括亚马逊、微软、苹果、谷歌、网络安全公司 CrowdStrike 和 Palo Alto Networks，以及摩根大通在内的一小部分金融公司。该项目被命名为“玻璃翼计划”（Glasswing），旨在帮助关键数字基础设施的运营方强化防御能力。

周二（4月14日），加拿大人工智能部长所罗门（Evan Solomon）与 Anthropic 高层会面。部长办公室发言人欧斯丽思（Sofia Ouslis）说：“我们高度重视这一问题，这也是我们与 Anthropic 代表会面的原因。我们支持 Anthropic 暂不立即发布该模型，而是优先用于发现和修复漏洞的做法。”

她补充说：“我们认为可信的国际合作伙伴也可以纳入其中。”

加拿大各大银行高管与监管机构于周五（4月10日）召开会议，讨论 Mythos 带来的网络安全风险。该模型似乎能够自动识别并利用漏洞，其能力之强已被专家形容为“危险”。

加拿大金融行业韧性小组（CFSRG）的成员参与了此次会议。该机构成员包括加拿大六大银行、联邦财政部、金融监管机构、多伦多证券交易所以及其他企业的代表。

加拿大财政部长商鹏飞的发言人证实会议于周五举行。他的发言人巴德茨尔（Paul Badertscher）在一份电子邮件中说：“加拿大央行已注意到这一问题。我们高度重视网络安全。”

美国决策者早些时候也采取了类似行动。周四（4月9日），美国财政部长贝森特与美联储主席鲍威尔召集华尔街高管，就 Anthropic 的 Mythos 及类似人工智能模型进行紧急讨论。

这进一步表明，全球监管机构日益担心，更强大的人工智能模型可能为金融行业带来新型网络攻击。Anthropic 透露，Mythos 已探索到数千个漏洞，包括“几乎涵盖所有主流操作系统和浏览器”。

专注于科技法律的律师事务所 INQ Law 的管理合伙人皮奥维森（Carole Piovesan）说：“Mythos的强大之处在于，一旦落入黑客之手，将对网络安全造成极其严重的破坏。”

周一（4月13日），隶属于英国科学、创新与技术部的人工智能安全研究所（AISI）发布了对 Mythos 的分析报告。报告透露，两年前最先进的AI模型还难以完成基本的网络攻防任务，而 AISI 研究人员发现，Mythos 却可以自主利用复杂的网络和软件漏洞，这些任务通常需要专业人员数天才能完成。

网络攻击通常涉及跨多个技术领域的数十个步骤，而 AISI 研究人员发现，Mythos 是首个破解企业网络攻击测试的AI，仅用32个步骤，在几秒钟时间就完成人类需要20小时才能完成的任务，而且在这个过程中做到了全自动、全自主，在10次尝试中成功了3次。

好消息是，其模拟环境比现实世界简单。AISI在报告中说：“这意味着我们无法确定 Mythos 是否能够成功攻击防御严密的系统。”

尽管如此，网络安全专家仍认为有必要提高警惕。全球各类机构长期采用快速但不彻底的补丁方式修复软件漏洞。未来，会随着漏洞增加和维护成本上升，形成“阴天驮稻草——越驮越重”的局面。

加拿大网络安全公司 Beauceron 首席执行官希普利（David Shipley）认为，无法仅靠打补丁来摆脱这一困境。

他说：“针对系统漏洞，我们必须进行全球范围的源代码进行系统性重构，这将耗费巨额资金，我们恐怕难以承受这一负担。”

希普利表示，这对科技领域的冲击相当于2008年金融危机叠加气候灾害。

他说：“我们未来的科技安全毫无保证，而我们对此毫无准备。”

位于密歇根州的网络安全研究公司 IT-Harvest 首席分析师斯蒂恩农（Richard Stiennon）预测，Anthropic 最终会“相当迅速”地发布 Mythos。

他说：“他们不得不这样做，因为竞争对手 OpenAI 即将迭代出强大功能的人工智能产品，竞争压力会迫使Anthropic行动起来。”

他又补充说：“我很高兴他们没有立即发布，否则将对补丁套补丁的系统造成巨大冲击。现在我们至少有了几周时间，可以思考如何应对尚未发布（zero day）的人工智能产品。”

安永会计师事务所加拿大网络安全部门负责人韩达（Umang Handa）表示，企业将不得不增加网络安全预算，以应对AI 的攻击。

他说：“在一个 AI 能够大规模发现漏洞的世界中，这已是架构层面的问题，而不仅仅是打补丁可以解决的。”

他补充说，如果不加以应对，代价将更加高昂。“如果什么都不做，将给加拿大经济带来相当巨大的损失。”

一些AI专家担忧，像Mythos这样强大的模型是否发布，完全由商业公司决定，却没有强制性的第三方监管或审计机制来评估其风险。

加拿大人工智能安全研究所研究项目联合主任佩普诺特（Nicolas Papernot）说：“目前由私营公司决定哪些模型可以发布的现状，对社会是有害的。”

他补充说：“立法者需要迅速行动，使法律框架适应生成式人工智能作为一种新型公共基础设施的现实。”

在加拿大，联邦政府正准备发布新的国家人工智能战略，其中“安全”将成为核心支柱之一。

加拿大通信安全局前局长布鲁斯（Shelly Bruce）在咨询文件中指出，大型 AI 模型运营方应被要求满足最低安全标准，并进行第三方风险评估。她还表示，加拿大应发挥领导作用，与其他 AI 安全机构合作应对安全问题。

加拿大央行前首席运营官迪尼斯（Filipe Dinis）表示，AI模型发展的速度之快，意味着加拿大立法者和监管机构必须改变思维方式和行动方式。

他在采访中说：“在我看来，制定法规需要数年甚至数月的时代已经结束。监管机构与企业需要合作，明确这些工具的使用边界，包括谁可以使用以及用途是什么。”

他还说：“无论在加拿大还是其他国家，金融体系高度互联。在很多情况下，对一家机构的成功攻击很容易演变为对所有机构的攻击。多年来，加拿大金融业在共同识别和应对这些风险方面表现出色，但这个模型在我看来把风险提升到了一个新的层级。”

目前尚不清楚是否有加拿大机构获得了测试 Mythos 新模型的机会。

加拿大央行拒绝提供有关上周五会议的更多细节。联邦财政部也未回应关于会议的进一步信息请求。

金融机构监管办公室（OSFI）表示，不会就个别金融机构使用的具体技术发表评论。

OSFI 发言人哈丁（Cory Harding）在声明中说：“我们已注意到并正在跟踪 Anthropic 近期推出的 Mythos 模型以及Glasswing 项目，该项目向部分机构提供早期访问权限，以评估并缓解相关网络风险。”

加拿大六大银行均未回应关于是否测试或使用 Mythos 的置评请求。