日本三大银行接入 Anthropic Mythos:双刃剑模型的金融实验

产品更新

三菱UFJ、三井住友、瑞穗三大银行本月底将获得 Mythos 使用权,这个能自主发现零日漏洞的 AI 模型,正从「威胁」变成金融机构的防御武器。

日本三大银行接入 Anthropic Mythos:双刃剑模型的金融实验

三菱UFJ金融集团、三井住友金融集团和瑞穗金融集团最快将在本月底获得 Anthropic Mythos 模型的使用权。这是日本企业首次获准使用这个争议性 AI 系统——一个月前,它还被各国监管机构视为「对全球银行系统的威胁」。

根据日本经济新闻报道,三家银行很可能在 5 月 12 日与美国财政部长斯科特·贝森特的会议上获悉这一消息。这标志着 Mythos 从「被严密监控的危险品」到「金融机构防御工具」的身份转变,背后是一场持续两个月的监管博弈。

日本三大银行总部大楼与 Anthropic 标志的合成图

从威胁到工具:Mythos 的争议起源

Mythos 不是普通的大语言模型。今年 4 月,Anthropic 披露这个模型具备「自主识别主流软件系统中未被发现的安全漏洞,并开发出可执行攻击代码」的能力。在内部测试中,Mythos 发现了多个金融系统使用的核心组件中的零日漏洞,其中部分漏洞已存在数年但从未被安全研究人员捕获。

这种能力立即引发金融监管机构的警觉。美国、英国、加拿大三国监管机构几乎同时介入,要求 Anthropic 暂停对外部署,并提交详细的安全评估报告。问题的核心在于:如果这个模型落入攻击者手中,全球金融系统可能面临前所未有的系统性风险。

但华尔街大行的态度更微妙。摩根大通、高盛等机构在 4 月中旬的闭门测试中发现,Mythos 识别漏洞的速度和准确度远超传统安全工具。一位参与测试的银行安全主管透露:「它在 72 小时内发现的漏洞,我们的红队可能需要 6 个月。」这种能力对防御方同样有价值——前提是能确保模型不被滥用。

日本的监管路径:工作组模式

日本选择了不同于美英的监管策略。4 月 24 日,财务大臣片山皋月宣布成立 Mythos 工作组,成员包括三大银行、金融厅、警察厅网络安全部门以及 Anthropic 的日本代表。工作组的任务不是简单地批准或禁止,而是建立一套「受控使用」框架。

这个框架包含几个关键要素:

访问控制分级:Mythos 的完整能力被分为三个层级。最高层级(包括漏洞利用代码生成)仅限银行内部红队在隔离环境中使用;中间层级(漏洞识别和分析)可用于日常安全审计;基础层级(代码审查和合规检查)可集成到开发流程。

实时监控机制:所有 Mythos 的调用都会被记录并发送到监管机构的中央系统。如果模型输出包含高危漏洞信息,系统会自动触发人工审核流程。这类似于核材料的「双人规则」——任何敏感操作都需要多方确认。

知识共享协议:银行使用 Mythos 发现的漏洞必须在 48 小时内报告给工作组,由工作组协调厂商修复。这避免了「发现漏洞但秘而不宣」的道德困境,也确保整个金融系统能同步提升安全水平。

应急响应预案:如果 Mythos 被用于实际攻击,或者模型本身出现安全问题,工作组有权立即切断所有银行的访问权限。这个「紧急制动」机制是监管机构同意试点的前提。

Mythos 工作组的监管框架示意图,展示分级访问和监控流程

技术细节:Mythos 到底能做什么

Mythos 的核心能力建立在三个技术突破上:

1. 代码语义理解的深度

传统静态分析工具依赖规则匹配,只能发现已知模式的漏洞。Mythos 通过训练理解了代码的「意图」和「实际行为」之间的差异。举个例子,它能识别出这样的问题:

# 开发者意图:验证用户权限后执行操作
def process_transaction(user_id, amount):
    user = get_user(user_id)
    if user.is_verified:
        # 执行转账
        transfer(user.account, amount)
    log_transaction(user_id, amount)  # 漏洞:无论验证是否通过都会记录

这段代码在功能上没有问题,但 log_transaction 的位置暴露了一个信息泄露风险:攻击者可以通过日志推断出哪些账户是已验证的。传统工具不会标记这个问题,因为它符合语法规则。Mythos 能理解「日志记录应该在权限检查之后」这个隐含的安全原则。

2. 跨系统的攻击链推理

更危险的是,Mythos 能将多个小漏洞串联成可执行的攻击路径。在一次测试中,它发现了某银行系统的三个独立问题:

  • API 网关的速率限制可以通过特定 header 绕过
  • 内部服务的 JWT 验证存在时间窗口漏洞
  • 数据库查询在某些边界条件下会泄露额外信息

单独看,这三个问题都不足以造成严重后果。但 Mythos 推理出一个攻击序列:先用 header 绕过速率限制进行暴力尝试,在 JWT 时间窗口内获取临时权限,再利用数据库泄露提取敏感数据。这种「攻击链合成」能力是人类安全研究员需要数周才能完成的工作。

3. 对抗性思维的涌现

最让研究人员意外的是,Mythos 展现出了「攻击者视角」。它不仅能发现漏洞,还能评估漏洞的「可利用性」——哪些漏洞容易被自动化工具利用,哪些需要人工介入,哪些在实际环境中难以触发。这种能力在 AI 安全研究中被称为「对抗性涌现」,是大模型规模突破某个阈值后自然出现的现象。

Anthropic 的研究人员在论文中承认,他们也没有完全理解 Mythos 是如何获得这种能力的。模型的训练数据中包含大量安全研究论文、漏洞报告和开源安全工具的代码,但「攻击链推理」和「可利用性评估」并没有被显式标注。这是典型的涌现行为——系统在足够复杂后,展现出训练时未被明确教授的能力。

银行的实际需求:为什么要冒险

日本三大银行愿意成为首批用户,不是因为技术好奇心,而是现实压力。

监管合规的时间成本:日本金融厅在 2025 年大幅提高了网络安全标准,要求银行每季度提交完整的系统安全审计报告。传统方式下,一次全面审计需要 3-4 个月,几乎占据了整个季度。Mythos 能将这个周期压缩到 2-3 周,让银行有更多时间修复问题而不是发现问题。

第三方供应链风险:现代银行系统依赖数百个第三方组件和服务。2024 年某国际支付网络的供应链攻击事件后,监管机构要求银行对所有外部依赖进行持续安全评估。人工审查第三方代码既昂贵又低效,Mythos 提供了一个可扩展的解决方案。

人才短缺:日本的网络安全人才缺口在 2025 年达到 14 万人。银行即使愿意支付高薪,也很难招到足够的安全专家。AI 工具不能完全替代人类,但能让现有团队的效率提升数倍。三井住友的一位高管在内部会议上直言:「我们不是在选择是否使用 AI,而是在选择使用谁的 AI。」

竞争压力:华尔街大行已经在测试 Mythos,欧洲的几家银行也在申请访问权限。如果日本银行落后,不仅是技术差距,更是在金融科技竞争中的战略劣势。片山皋月在工作组成立时强调:「我们不能因为恐惧新技术而放弃竞争力。」

银行安全运营中心的场景,屏幕上显示 Mythos 的漏洞分析界面

争议与风险:这个实验可能出什么问题

即使有严格的监管框架,Mythos 的部署仍然充满争议。

模型泄露风险:如果 Mythos 的权重或推理过程被窃取,攻击者就能复制其能力。Anthropic 使用了多层加密和硬件安全模块(HSM)来保护模型,但没有绝对安全的系统。一位匿名的安全研究员在社交媒体上警告:「我们在创造一个数字化的核武器,然后假装保险柜足够坚固。」

误报与过度依赖:AI 模型会产生误报。如果银行过度依赖 Mythos 的判断,可能会忽视真正的威胁,或者在误报上浪费资源。更危险的是「自动化偏见」——人类倾向于相信机器的判断,即使机器是错的。工作组要求银行保留人工审核环节,但实际执行中这个要求可能被弱化。

攻防不对称加剧:Mythos 让防御方更强,但也让攻击方的潜在能力更强。如果类似技术被恶意行为者掌握,他们能以更快的速度发现和利用漏洞。这可能导致「AI 军备竞赛」——防御方和攻击方都在竞相开发更强大的 AI 工具,而整个系统的脆弱性实际上在增加。

监管套利:日本的「受控使用」框架比美国更宽松。这可能吸引其他国家的金融机构通过日本子公司间接获取 Mythos 的访问权限,绕过本国的监管限制。工作组已经意识到这个问题,但跨境监管协调是一个长期挑战。

更广泛的影响:AI 安全工具的未来

Mythos 的部署是一个标志性事件,它预示着 AI 在网络安全领域的角色正在从「辅助工具」转变为「核心能力」。

从被动防御到主动狩猎:传统安全工具是被动的——等待攻击发生,然后响应。Mythos 代表了一种主动模式:持续扫描系统,在攻击者之前发现漏洞。这类似于从「城墙防御」到「领土巡逻」的转变。但主动模式也意味着更高的误伤风险和更大的权力集中。

安全即服务的新形态:如果 Mythos 证明有效,我们可能会看到「AI 安全即服务」的兴起。中小银行和企业无法负担自己的 Mythos 实例,但可以通过云服务访问类似能力。这会创造新的商业模式,也会带来新的集中化风险——少数几家 AI 公司控制了全球的安全基础设施。

监管范式的转变:传统的软件监管关注「产品是否安全」,但 AI 工具的监管需要关注「使用过程是否安全」。日本的工作组模式可能成为其他国家的参考——不是简单地批准或禁止,而是建立持续的监督和协调机制。这需要监管机构具备更强的技术能力和更灵活的响应速度。

伦理边界的模糊:Mythos 能做的事情,人类安全研究员理论上也能做,只是速度慢得多。但当 AI 能在几小时内完成人类需要几个月的工作时,「能力的量变」是否会导致「伦理的质变」?如果一个工具能轻易发现数千个漏洞,我们是否应该限制它的使用,即使这些漏洞客观存在?

开发者视角:这对你意味着什么

如果你在金融科技领域工作,Mythos 的部署会直接影响你的日常工作:

代码审查标准提高:银行使用 Mythos 后,对供应商和合作伙伴的代码质量要求会显著提高。那些「能用但不够安全」的实现将不再被接受。你需要更关注边界条件、权限检查和数据流的安全性。

漏洞响应速度加快:当银行能在几天内发现系统中的所有漏洞时,他们对修复速度的期望也会相应提高。传统的「季度安全更新」节奏可能被「持续安全修复」取代。

安全工具链的演进:Mythos 不会直接对外开放,但它的存在会推动整个安全工具生态的进化。开源社区可能会开发类似(但能力较弱)的工具,商业安全厂商会加速 AI 集成。你的工具链在未来一两年内会发生显著变化。

技能要求的转变:「能写安全代码」的价值在下降,「能理解 AI 工具的输出并做出正确决策」的价值在上升。未来的安全工程师更像是「AI 安全分析师」——他们的核心技能是解读、验证和优先级排序,而不是手工挖掘漏洞。

对于使用 AI API 的开发者,虽然 Mythos 本身不会公开,但 Anthropic 的其他模型(如 Claude 3.5 Sonnet)已经在代码审查和安全分析方面展现出不错的能力。如果你在构建金融相关的应用,值得尝试将 AI 集成到开发流程中——不是替代人工审查,而是作为第一道防线。

结语:双刃剑的平衡术

Mythos 的故事还在继续。日本三大银行的试点将持续至少 6 个月,期间工作组会密切监控使用情况和安全事件。如果试点成功,更多国家和机构会跟进;如果出现严重问题,整个「AI 安全工具」的发展路径可能被重新评估。

这不是一个关于技术好坏的简单问题,而是关于如何在能力和风险之间找到平衡。Mythos 能让金融系统更安全,但前提是我们能确保它本身不会成为新的威胁源。日本的实验是一次大胆的尝试,它的结果将影响整个行业对 AI 安全工具的态度。

对于开发者和从业者,这个事件的启示是:AI 不再只是写代码和回答问题的助手,它正在成为关键基础设施的一部分。我们需要更认真地思考 AI 的能力边界、使用规范和潜在风险。技术的进步不会停止,但我们可以选择如何使用它。

参考来源

由于本文涉及的主要信息源均为境外财经媒体报道,暂无国内可访问的参考链接。文中信息综合自日本经济新闻、彭博社、新浪财经等多家媒体的公开报道。