未公开AI模型逼疯全球央行，金融防线在颤抖

2026年4月7日，美国财政部部长和美联储主席跳过周末，紧急召集中华尔街银行高管闭门开会——不是因为利率波动，也不是因为债务违约，而是一款还没公开发布的AI模型。这款叫Mythos的模型，能在几小时内找出藏在系统里几十年的漏洞，自动写出完整的攻击代码，效率堪比顶尖安全专家数周的工作。消息一出，从伦敦到东京的央行连夜启动应急机制，连德国央行行长都公开喊话：所有机构都该拿到这个技术，不然安全防线就是纸糊的。为什么一款AI模型能让全球金融监管层如临大敌？

它能撬开藏了27年的金融系统后门

你可以把银行的IT系统想象成一栋住了几十年的老楼：表面看起来坚固，水管、电线、承重墙里全是没被发现的裂缝。过去黑客要找到这些裂缝，得靠经验一点点摸，可能几个月都找不到一个。但Mythos不一样，它像一个自带透视眼的检修工，能在整栋楼的蓝图里自动定位裂缝，甚至当场算出怎么用最省力的方式撬开整扇门。

它曾发现OpenBSD系统里藏了27年的TCP漏洞，能远程让服务器直接崩溃；还找出了FFmpeg媒体库中16年没被检测到的边界漏洞——这个漏洞在500万次自动化测试里都没被揪出来。对依赖老旧系统的银行来说，这意味着过去靠“没人发现”撑起来的安全，现在像窗户纸一样一捅就破。

更可怕的是，它不止能找漏洞，还能自己写攻击代码。在英国AI安全研究所的测试里，它完成了32步的完整攻击链：从扫描网络、找到漏洞、绕过防御，到最终拿到系统最高权限，全程不需要人类插手。传统攻击要花几天甚至几周，它几小时就能搞定。

封闭防御反而撕开了新的缺口

面对这把“双刃剑”，开发它的Anthropic公司启动了“玻璃之翼”项目——只给谷歌、微软、摩根大通等40多家巨头开放权限，让他们先用模型找出自己的漏洞补起来。这本是个“先让防御方武装起来”的思路，却引发了新的争议：德国央行行长直接批评，这种封闭做法会导致“防御能力不均”，小银行和中小机构拿不到工具，反而成了最容易被攻击的目标。

更糟的是，就在“玻璃之翼”启动当天，已有未经授权的用户在私人论坛拿到了模型的访问权限。这意味着，黑客可能比小银行更早用上这款工具。原本想筑牢防线的操作，反而可能让攻击的门槛变得更低——过去只有顶尖黑客能完成的复杂攻击，现在普通诈骗团伙用AI就能一键生成。

金融机构的焦虑正在变成现实：2025年，已有APT组织用AI生成高度定制的钓鱼邮件，攻击成功率提升了3倍；某跨国公司财务人员被AI生成的深度伪造视频骗走2500万美元。Mythos的出现，只是把这种“AI攻防竞速”推到了临界点。

全球监管的补丁赶不上漏洞的速度

当AI攻击进入“机器速度”，传统监管体系的滞后性暴露无遗。目前全球没有统一的AI安全监管框架：欧盟的《人工智能法案》把AI按风险分级，但针对金融系统的具体规则要到2027年才落地；美国还在靠行政命令和行业自律，联邦和州的规则互相打架；发展中国家连基础的AI安全人才都缺。

英国央行行长安德鲁·贝利说，Mythos“彻底打开了网络风险的潘多拉盒子”，但监管能做的，还只是“把AI风险纳入压力测试”。金融机构已经开始自救：高盛用Mythos扫描自己的系统，找出了17个未被发现的漏洞；摩根大通建立了AI红队，专门模拟AI攻击。但这些都是企业层面的零散动作，没有形成全球协同的防御网。

更关键的是，AI模型一直在迭代，今天补好的漏洞，明天可能就被新的AI攻击绕过。就像杀毒软件永远追不上病毒变种，监管的补丁，似乎永远赶不上AI攻击的速度。

Mythos的出现，本质上是给全球金融体系提了个醒：我们过去依赖的“安全”，很多时候只是“没被发现”。当AI把所有隐藏的漏洞都摆到台面上，防御的思路不能再是“补窟窿”，而是要重新搭建一套能应对机器速度攻击的体系。

“攻防竞速的终点，不是谁更快，而是谁更韧。”这句话正在变成金融行业的新共识——不是靠单一的技术工具，而是靠跨机构的协作、动态的监管、以及从底层重构的安全思维。毕竟，在AI面前，没有绝对的安全，只有不断适应的韧性。这场和机器的赛跑，才刚刚开始。