СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
25 мая
#ИБ#ИИ

ЕЦБ зовёт европейских банкиров на срочный разговор после того, как ИИ от Claude начал вскрывать уязвимости за минуты

ЕЦБ зовёт европейских банкиров на срочный разговор после того, как ИИ от Claude начал вскрывать уязвимости за минуты

Изображение: recraft

Европейский центральный банк созывает крупнейшие банки на экстренное обсуждение угроз нового типа. Поводом стала экспериментальная модель Claude Mythos Preview от компании Anthropic, которая, по сведениям Financial Times, отыскивает критические дыры в банковском софте с пугающей скоростью. Регулятор боится, что привычные сроки реагирования на киберугрозы уже не спасают.

Главная мысль ЕЦБ проста — банкам пора перестраивать защиту IT-систем и менять подход к закрытию уязвимостей. Финансистов пугает не сам рост числа атак. Их пугает то, что свежие AI-модели резко сжимают промежуток между выходом патча и появлением готовых инструментов для взлома.

Зампред наблюдательного совета регулятора Фрэнк Элдерсон высказался без обиняков — прежний темп работы больше не отвечает уровню риска. Раньше банк мог латать слабое место неделями. Теперь, по словам Элдерсона, нападающий пускает уязвимость в ход примерно через полчаса после релиза обновления. Он подобрал музыкальное сравнение для наглядности:

Интересно, что Элдерсон описал перемену через темп оркестра. Банковская безопасность раньше жила в ритме andante, а сейчас рынок вынужден почти срываться в presto.

Отдельная головная боль для Франкфурта — кто вообще получил доступ к Claude Mythos Preview. Сейчас модель обкатывают преимущественно американские организации внутри программы Project Glasswing. Европейские банки рискуют оказаться в роли отстающих, пока их коллеги за океаном уже щупают технологию и прикидывают её эффект на оборону.

Тема не нова для финансового мира. Financial Times ещё в апреле сообщала, что Mythos обсуждали на встречах МВФ и Всемирного банка в Вашингтоне — и обсуждали жарко. Президент ЕЦБ Кристин Лагард тогда назвала разработку примером ответственного подхода к ИИ, который при попадании в чужие руки всё равно умеет приводить к крайне опасным последствиям.

Чем именно знаменита эта модель:

  • она находит тысячи критических уязвимостей в популярных операционных системах и браузерах;
  • работает не в формате эффектных лабораторных демонстраций, а на боевом тестировании внутри гигантских корпораций;
  • по данным FT, её уже подключили около 40 крупных компаний;
  • среди них значатся Amazon, Apple и JPMorgan Chase.

Работу над бета-версией подтвердили руководители JPMorgan, Morgan Stanley, BNY и Citigroup. При этом банкиры не скрывают неудобной правды — система засыпает команды безопасности таким объёмом найденных проблем, что закрывать их приходится в авральном режиме.

Для финансового сектора наступает нервная пора. Банковская инфраструктура десятилетиями строилась вокруг сложных, возрастных и капризных систем, где даже рядовое обновление тянет за собой недели согласований и проверок. А ИИ теперь умеет резко ускорять поиск прорех в подобных конструкциях, и окно для нападения сжимается до опасной величины.

Картину портит ещё и рост атак через AI-инструменты. Специалисты EclecticIQ ранее раскрыли кампанию с поддельными сайтами Gemini и Claude Code. Схема выглядела так:

  • мошенники манипулировали поисковой выдачей;
  • фейковые страницы поднимались выше настоящих;
  • разработчиков подталкивали запускать PowerShell-команды;
  • эти команды тянули инфостилеры и уводили корпоративные данные.

Что меняется в самой профессии:

  • задачи offensive security всё больше уходят к моделям;
  • то, на что раньше уходила команда специалистов и недели ручного труда, превращается в работу для алгоритма;
  • модель анализирует громадные объёмы кода и инфраструктуры почти в реальном времени;
  • скорость защиты начинает уступать скорости машинного разбора.

Внутри отрасли уже звучат опасения, что подобные системы перекроят сам баланс сил в обороне цифровых рубежей. Прежде крупные игроки опирались на относительно длинный цикл обновлений. Теперь же поиск критических ошибок грозит превратиться в почти непрерывный автоматический конвейер:

Стоит обратить внимание на главный сдвиг. Старые неторопливые процедуры защиты выглядят слишком хрупкими для скорости, с которой работают новые атакующие модели.

Эксперты редакции CISOCLUB убеждены, что финансовому сектору придётся учиться жить в режиме постоянной готовности — паузы, которые раньше считались нормой, рынок больше не может себе позволить.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: