欧洲央行警告银行防范人工智能驱动的网络威胁
欧洲央行已向所有欧元区银行发出正式警告,敦促它们加强防御,以应对由先进人工智能模型生成的网络攻击。
“神话”迷思:无法获取AI如何成为欧洲银行业的主要系统性风险
欧洲央行监管委员会副主席弗兰克·埃尔德森于2026年5月13日发出警告,这一警告在任何其他新闻背景下都会成为头条新闻:欧洲银行必须立即“现在”就为使用Anthropic的Mythos级AI模型发起的网络攻击做好准备,尽管它们目前没有、将来也不会获得该模型的访问权限。这一声明是在欧洲央行内部监管通讯的一次采访中发布的——正是这种几乎隐形的形式揭示了正在发生的事件的本质。监管机构与其说是在通知市场,不如说是在为未来的诉讼记录其立场。
本质:真正发生了什么
形式上,欧洲央行是在警告银行面临一类新的网络威胁。执行委员会成员弗兰克·埃尔德森直言:“无法访问[Mythos]并不能成为不作为的理由。相反,这使得银行立即采取行动变得至关重要。”监管机构指出,获得Mythos早期访问权限的美国大型银行已经在修复其数据中心中由该AI模型识别的漏洞。日本预计将在两周内为其三大银行提供访问权限。欧洲仍被排除在外。
但埃尔德森声明的真正本质并非网络安全本身。这是一种监管责任外包的行为。欧洲央行无法保护欧洲银行免受甚至无法评估的威胁。因此,它将负担转嫁给银行本身:为你看不到的东西做好准备,如果出了问题——我们警告过你了。
这种模式对于任何关注过危机时刻欧洲银行业监管的人来说都很熟悉。当监管机构缺乏直接工具时,它会创建书面记录。2026年5月就是这样一个时刻:Mythos能够以现有工具无法达到的速度自主识别和利用漏洞,并将软件补丁逆向工程为漏洞利用,速度比以前快得多。被拒绝访问该工具的欧洲银行只能看着美国竞争对手修补漏洞,而自己只能猜测自身的脆弱程度。
时间线与背景
导致埃尔德森声明的事件链迅速展开。2026年4月,路透社报道称,欧洲央行监管机构打算要求银行提供关于其对新型风险来源——AI增强型网络攻击——的准备情况的信息。同月,有数据显示,获得Mythos早期访问权限的美国大型银行正在紧急修复其数据系统中的数十个漏洞。Anthropic仅向少数美国组织提供了访问权限——亚马逊云服务、微软、英伟达、Linux基金会和摩根大通——作为Project Glasswing计划的一部分。
到5月初,局势升级。欧洲央行行长克里斯蒂娜·拉加德表示,央行正在研究针对Mythos驱动攻击的防御机制,但由于无法访问该模型而处于劣势。5月12日,有消息称,日本三大银行可能在未来两周内获得Mythos的访问权限。欧洲仍然是唯一被切断该工具的主要金融集团。
随后,5月13日,埃尔德森的采访发布。他将Mythos描述为“网络安全的转折点”——一种能够将看似微小的漏洞组合成严重攻击向量的工具。同时,他承认欧洲银行不仅无法使用Mythos进行防御,甚至无法评估自身对其的脆弱程度。
谁赢谁输
美国银行赢了——但并非表面看起来那样。 摩根大通和其他Project Glasswing参与者不仅获得了防御工具,还获得了不对称的信息优势。他们知道自己的漏洞,知道Mythos如何发现它们,并且可以模拟攻击向量。欧洲银行缺乏这些信息,因此更容易受到对手的攻击——我要强调——无论银行是否有权访问这些模型,对手都可能使用Mythos或类似模型。
欧洲银行输了——结构性地,而且可能是不可逆转地。 这不仅仅是无法访问特定模型的问题。币安研究数据显示,AI增强型攻击每次攻击获得的资金是传统方法的4.5倍,产生的交易活动是传统方法的9倍。2025年,冒充案件数量同比增长1400%,88%的深度伪造欺诈案件与加密资产相关。尽管这些是加密行业的数据,但攻击方法是通用的——而欧洲银行仍然没有能够检测到这些攻击的工具。
欧洲监管机构作为机构输了。 埃尔德森的声明是对结构性弱点的承认。欧洲央行无法强迫Anthropic提供访问权限。它无法进行自己的测试。它无法评估威胁的规模。它所能做的就是告诉银行“做好准备”。这不是监管,而是劝诫。
媒体没有报道的内容
第一个也是最关键的不为人知的故事:欧洲央行的警告是在法国发生大规模银行数据泄露事件三个月后发出的,该事件通过国家登记处泄露了120万账户——通过一名政府雇员被盗的凭证。这不是AI增强型黑客攻击,而是利用社会工程和被盗凭证的经典攻击。如果欧洲银行系统连这种级别的攻击都无法防御,它们将如何为Mythos做好准备?Mythos能够“以现有工具无法达到的速度和规模自主识别和利用漏洞”。
第二个隐藏因素:问题不仅在于银行本身,甚至主要不在于银行,而在于它们的承包商。埃尔德森特别强调,银行使用的关键基础设施和外部服务提供商面临风险。这意味着漏洞范围远大于银行自身的资产负债表。处理公司、云提供商、SWIFT网关系统、数据中心——所有这些都可能通过漏洞被攻破,而类似Mythos的AI会发现这些漏洞,速度比人类关闭它们更快。当美国同行通过Mythos进行测试时,欧洲同行仍然“盲目”。
第三个未被充分报道的方面:AI攻击的经济性使得防御从根本上比攻击更昂贵。币安研究指出,AI增强型漏洞利用目前每个合约成本约为1.22美元,预计每两个月成本将下降22%。这是一种极不对称的经济。攻击成本为1.22美元,银行必须花费数百万美元进行防御。随着攻击成本下降,这一差距只会扩大。而美国银行通过测试Mythos,至少知道哪些漏洞需要优先修补,欧洲银行则被迫同时防御所有漏洞——这是不可能的。
预测:未来30天和90天
30天(到2026年6月中旬):
触发点将是日本银行获得Mythos访问权限——预计在未来两周内。当三菱日联、三井住友和瑞穗开始测试时,第一个真正的基准将出现:Mythos在亚洲大型银行中发现多少漏洞。这些信息可能仍将保密,但市场将通过间接迹象了解规模——紧急系统更新、计划外审计、网络安全支出上升。
欧洲央行按计划将在4月开始正式收集受监管银行关于其AI攻击准备情况的信息。我预计调查结果将令人震惊,监管机构可能会发布额外指令。欧洲央行也可能加强外交努力,为欧洲银行争取Mythos访问权限——但这不会很快实现。
90天(到2026年8月中旬):
到夏末,目前刚刚出现的结构性不平等将变得明显。能够访问先进AI工具的银行(美国银行和可能的日本银行)将拥有与欧洲银行根本不同的网络风险状况。评级机构可能开始将其纳入信用评级——特别是如果至少发生一起涉及AI增强型攻击欧洲银行的高调事件。
Quorum Cyber的2026年报告已经指出,金融服务行业的平均赎金要求上升了179%,新勒索软件组织的数量增加了30%。一个国家级行为者展示了使用AI自动化高达90%入侵过程的能力。如果这些趋势继续下去,到8月,一些欧洲银行几乎不可避免地会成为受害者——届时,欧洲央行现在试图通过其警告来预防的问题将出现:为什么银行没有为监管机构早在5月就警告过的威胁做好准备?
内部人士观点:埃尔德森5月13日的声明与其说是建议,不如说是创建监管借口。当(而不是如果)一家欧洲银行遭受使用Mythos级AI工具的成功攻击时,欧洲央行将能够说:我们警告过你,银行应该做好准备。但根本问题仍未解决:在网络攻击的经济性已从根本上转向有利于攻击者的时候,欧洲银行系统被切断了关键防御工具。这不是技术差距——这是嵌入全球金融监管架构中的结构性脆弱性。
— Editorial Team