2026年4月7日,美国财政部长斯科特·贝森特和美联储主席杰罗姆·鲍威尔在华盛顿召集了美国银行、花旗集团、富国银行、高盛和摩根士丹利的首席执行官。这并不是一次货币政策会议,而是对Anthropic公司推出的一种名为Claude Mythos Preview的人工智能模型的警告,这一模型在当天向少数选定的企业发布。
引发警觉的能力非常具体:Mythos能以空前的精确度检测软件、浏览器和安全系统中的极端漏洞。Anthropic毫不避讳地承认,如果这款工具落入错误之手,它将为潜在攻击者提供窃取数据或干扰关键基础设施的优势。因此,发布受到限制,政府召集银行首脑是非常必要的。这一案例值得我们超越网络安全的标题进行深入解读。
Mythos揭示了银行创新组合的真相
这五家银行共同管理超过20万亿美元的资产,占美国银行市场份额的40%以上。摩根大通是最大的缺席者——CEO杰米·戴蒙未能出席——该行每天处理超过200亿笔交易。这些机构的技术基础设施,按定义,是任何精明攻击者最赚钱的目标。
该行业已经为自身的风险付出了昂贵的代价:2025年,安全漏洞的平均成本为590万美元,而美国银行系统因网络攻击造成的总损失达到了120亿美元。在这样的背景下,能自动化检测漏洞的人工智能的到来不是学术上的新鲜事,而是一种重新分配谁在攻防战争中占优势的权力杠杆。
4月7日的会议暴露出的问题在于:大型银行在网络安全方面投入巨大——摩根大通每年投入150亿美元用于技术——但他们的思维方式仍是成熟业务,目标是通过标准化流程、周期性审计和合规监管来保护现有的收入引擎。Mythos并不符合这个模型。它是一种主动探索漏洞的工具,而不是被动维护的防御工具。合理吸收它需要设计出大部分这些机构没有的组织结构。
Anthropic在内部构建了一种企业模式,而银行没有
该案例最值得注意之处在于政府警告与Anthropic如何执行发布之间的对比,以及金融系统如何应对。
Anthropic以对选定合作伙伴的限制性访问模式推出Mythos,并没有将其释放到市场,也没有将其集成到现有的产品套件中。它把Mythos视为一种高潜力高风险的能力,在规模化之前需要经过受控的验证。这正是一个将创新视为独立单位的组织的表现,该单位有着自己独立的运营规则,并且与核心业务分开。获得亚马逊和谷歌超过80亿美元的投资使它能够在没有迫切赚钱压力的情况下维持这种纪律。
相比之下,银行却在逆向逻辑下运作。它们的创新单位、内部实验室和高级网络安全团队通常需按照与任何成熟业务一样的指标通报:季度投资回报、可测量成本降低和遵守审计要求。当Mythos这样的技术进入视野后,通常的程序是将其交给合规部门,等待法律批准,评估与遗留系统的兼容性,若能通过审批,18个月后则将其集成到功能大打折扣的版本中。
美联储早已有监督人员评估这些银行的内部系统。这种存在并不新鲜,但焦点有所不同:现在他们正在对能力、系统和防御进行审计,特别是针对由人工智能驱动的威胁。到最后,他们会发现,在大多数情况下,威胁演变的速度与机构适应防御的速度之间存在差距,尤其是在这些防御被困于为不同类型风险而设计的治理结构中。
用开发性指标评估探索的代价
应用于网络安全的全球人工智能市场在2024年达到了248亿美元,预计到2030年将以24.5%的年复合增长率增长。这些数字描绘了一个正在从反应性检测工具转变为主动分析系统的行业。Mythos并不是这条曲线的终点,而是其加速前进的信号。
对于银行来说,不调整其技术风险管理模型的成本是双重的。第一,直接成本:如果精明的攻击者获得了类似Mythos的能力——通过无限制版本、开源衍生物或具有类似资源的国家行为者——那些每天处理数万亿美元交易的机构的风险将非线性增长。分析师估计,受到人工智能增强的攻击可能会使该行业的损失翻倍。
其次是机会成本:那些能够在其防御性操作中有效集成Mythos等工具的银行——不仅仅作为装饰性试点,而是作为实际运营能力——将在检测和关闭漏洞方面获得不对称优势,从而减少网络保险的费用,而后者在2025年已上涨了25%,并降低了因触发像多德-弗兰克法案下义务而引发的系统性事件的可能性。
障碍不在于投资意愿,预算是存在的。障碍在于将一种主动探索的工具集成到一个旨在保持运营稳定的结构中,需要建立一个真正独立的单元,拥有自己的指标——经过验证的学习、检测速度、攻击面减少——并且能够抵御会减缓任何不产生短期可见收入的计划的审批周期。
差异化窗口比看上去关闭得更快
杰米·戴蒙在4月7日会议上的缺席并不意味着摩根大通战略上的忽视。然而,它却生动地说明了金融系统不能奢侈地忽视的一种动态:当威胁以人工智能的发布周期的速度演变时,准备工作不能仅仅依赖于CEO那天是否能够出席。
Anthropic构建了一个将风险与学习分开发布的机制。银行需要构建一个等效的机制,将防御性创新与常规公司治理周期分开。这不仅是临时例外,而应该是长期设计。那些能够在Mythos或其继任者进入开放市场之前实现这一目标的公司,将把合规成本转化为可衡量的竞争优势。而那些未能实现的,将继续为保护他们系统中的漏洞支付更高的保险费用,而这些漏洞他们常常需要到最后一刻才能发现。
