Anthropic zamierza przeprowadzić briefing dla Rady Stabilności Finansowej (Financial Stability Board, FSB) w sprawie luk w cyberbezpieczeństwie wykrytych przez swój najnowszy model Claude Mythos. To bezprecedensowy krok, który pokazuje, że AI przestała być tylko tematem dla technologów, a stała się realnym problemem dla globalnego systemu finansowego.
Kluczowe fakty:
- Anthropic przeprowadzi briefing dla Rady Stabilności Finansowej w sprawie luk cyberbezpieczeństwa wykrytych przez model Claude Mythos, co oznacza, że AI stała się realnym problemem dla globalnego systemu finansowego.
- Claude Mythos identyfikuje i eksploituje podatności w głównych systemach operacyjnych i przeglądarkach z ponad 83-procentową skutecznością przy pierwszej próbie, wykrywając luki funkcjonujące przez dziesiątki lat.
- Model jako pierwszy w historii testów AISI ukończył oba symulowane zakresy ataku sieciowego, rozwiązując "The Last Ones" w 6 na 10 prób i wcześniej nierozwiązany scenariusz "Cooling Tower" w 3 na 10 prób.
Inicjatywę zaproponował Andrew Bailey, gubernator Banku Anglii i jednocześnie przewodniczący FSB, który już w połowie kwietnia, podczas przemówienia na Uniwersytecie Columbia, wymienił Mythos z nazwy jako jeden z dwóch czynników, które przyspieszyły postrzeganie cyberzagrożeń przez regulatorów szybciej niż jakakolwiek inna kategoria ryzyka w ostatnich latach.
Czym właściwie jest Claude Mythos?
Mythos to model Anthropic zaprojektowany z myślą o cyberbezpieczeństwie. Jego zadanie? Wykrywanie dziesiątek lat funkcjonujących luk w przeglądarkach internetowych, infrastrukturze sieciowej i oprogramowaniu. Według danych z testów wewnętrznych Anthropic, model potrafi identyfikować i eksploitować podatności w głównych systemach operacyjnych i przeglądarkach z ponad 83-procentową skutecznością już przy pierwszej próbie.
Firma ogłosiła model w kwietniu 2026 r., ale nie udostępniła go publicznie. Zamiast tego uruchomiła program Project Glasswing, w ramach którego dostęp do Mythos otrzymała zamknięta grupa partnerów technologicznych i banków, m.in. Apple i JP Morgan. Cel? Identyfikacja słabych punktów zanim znajdą je osoby o złych intencjach.
Wyniki testów AISI: coś się zmieniło
Brytyjski AI Security Institute (AISI) opublikował w ubiegłym tygodniu zaktualizowaną ocenę modelu i wyniki robią wrażenie nawet na tle dynamicznie rosnących możliwości wcześniejszych modeli.
Nowszy checkpoint Mythos Preview jako pierwszy w historii testów AISI ukończył oba symulowane zakresy ataku sieciowego. Model rozwiązał „The Last Ones” w 6 na 10 prób i jako pierwszy w ogóle pokonał wcześniej nierozwiązany scenariusz „Cooling Tower” w 3 na 10 prób.
AISI śledzi postęp cyberzdolności przez tzw. time horizon benchmarks, mierząc jak długie zadania autonomiczne model jest w stanie ukończyć z 80-procentową niezawodnością. W listopadzie 2025 r. agencja szacowała czas podwajania tych zdolności na 8 miesięcy. Do lutego 2026 r. skurczył się do 4,7 miesiąca. Wyniki Mythos i GPT-5.5 przekroczyły nawet ten szybszy trend.
Innymi słowy: zdolności cybernetyczne modeli AI rosną szybciej niż narzędzia do ich mierzenia.
Prawie co drugi pracownik w Polsce używa AI za plecami swojego szefa. 71% polskich pracowników oszczędza dzięki AI od pół godziny do ponad dwóch godzin dziennie …
Sektor finansowy na celowniku
Tu dochodzimy do sedna całego zamieszania. Banki, szczególnie te opierające się na starszej infrastrukturze, są potencjalnie najbardziej narażone. W ciągu kilku dni od przemówienia Baileya w Columbia University, brytyjskie banki otrzymały własny briefing na temat Mythos. Kilka tygodni później Federal Reserve i Departament Skarbu USA zwołały prezesów największych amerykańskich banków w celu omówienia tego samego ryzyka.
David Solomon z Goldman Sachs przyznał, że jest „hyper-aware” / „niezwykle świadomy” możliwości Mythos. Jamie Dimon z JP Morgan stwierdził, że AI sprawiła, że obrona przed cyberatakami stała się „harder” / „trudniejsza”, choć jednocześnie może pomóc firmom się bronić.
Patrząc na to, co dzieje się z Mythos, czuję mieszane uczucia i myślę, że każdy rozsądny obserwator powinien. Z jednej strony Anthropic robi dokładnie to, czego oczekujemy od odpowiedzialnych graczy: nie wrzuca modelu do publicznego internetu, angażuje regulatorów, daje dostęp do narzędzia wybranym instytucjom, które mogą je użyć defensywnie. To uczciwa postawa. Z drugiej strony musimy być szczerzy: model, który potrafi w trybie autonomicznym przeprowadzić wieloetapowy atak na sieć korporacyjną, raz się pojawi w świecie i nie zniknie. Pytanie nie brzmi „czy ktoś nieuprawniony zdobędzie podobne możliwości”, tylko „kiedy”. I właśnie dlatego briefing dla FSB jest ważny, ale niewystarczający. Regulatorzy muszą działać szybciej niż zwykle. Stawką jest stabilność systemów, od których zależy nasze codzienne życie.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl
FSB i IMF wchodzą do gry
Rada Stabilności Finansowej, skupiająca oficjeli z USA, Wielkiej Brytanii, Australii, Chin i innych wiodących gospodarek świata, odpowiada za monitorowanie globalnego systemu finansowego i wydawanie rekomendacji dla sektora. Jej zaangażowanie w kwestię AI to wyraźny sygnał, że temat wyszedł poza dyskusje technologiczne.
W maju Międzynarodowy Fundusz Walutowy ostrzegł, że ryzyka dla stabilności finansowej rosną ze względu na „szybko zmieniające się” trendy w AI i zaapelował o skoordynowaną odpowiedź międzynarodową. W swoim wpisie IMF napisał: „Cyber risk does not respect borders. As AI capabilities spread across countries, inconsistent oversight could weaken a globally interconnected system.” / „Ryzyko cybernetyczne nie zna granic. Gdy zdolności AI rozprzestrzeniają się po kolejnych krajach, niespójny nadzór może osłabić globalnie powiązany system.”
Nikhil Rathi, szef brytyjskiego Financial Conduct Authority, podkreślił na konferencji City Week w Londynie, że Bailey jest aktywnie zaangażowany w ten temat i trwa współpraca z amerykańskimi organami nadzoru. Rathi zaznaczył też, że brytyjskie regulatorzy i Ministerstwo Skarbu wydali wytyczne, nakazujące firmom wzmocnienie podstawowej „cyber higieny”. Co to oznacza w praktyce?
- Przegląd i aktualizacja przestarzałych systemów (legacy systems)
- Wdrożenie skutecznych mechanizmów wykrywania zagrożeń
- Ustanowienie solidnych struktur zarządzania ryzykiem
- Opracowanie planów odtworzeniowych po incydentach
- Weryfikacja pokrycia ubezpieczeniowego
Rathi ocenił, że „Anthropic has acted fairly responsibly in engaging with authorities” / „Anthropic zachował się dość odpowiedzialnie, angażując władze regulacyjne” na poziomie międzynarodowym.
Ewolucja, nie rewolucja. Na razie
Warto zachować proporcje. Część ekspertów ds. cyberbezpieczeństwa zwraca uwagę, że większość realnych naruszeń systemów wciąż pochodzi ze słabej autentykacji, niezałatanych znanych luk i błędów ludzkich, nie z autonomicznych ataków AI. Mythos zmienia rachunek kosztów i czas potrzebny do przeprowadzenia ataku, ale nie zmienia fundamentalnie wszystkich wektorów zagrożeń naraz.
To ważna perspektywa. Panika nie służy nikomu. Niemniej tempo wzrostu możliwości, które AISI dokumentuje miesiąc po miesiącu, powinno być sygnałem alarmowym dla wszystkich, którzy odpowiadają za infrastrukturę krytyczną, czyli nie tylko dla banków, ale i dla administracji publicznej, operatorów sieci energetycznych czy systemów ochrony zdrowia.
Pytanie, które wisi w powietrzu: czy instytucje takie jak FSB są w stanie nadążyć za tempem zmian, które AISI opisuje nie w latach, a w miesiącach?
