Министр финансов Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл созвали срочное совещание с лидерами Уолл-стрит на этой неделе, обойдя обычный график брифингов и напрямую поговорив с генеральными директорами банков о киберрисках, обусловленных ИИ.
Сообщения указывали на то, что целью встречи было обеспечение того, чтобы банки понимали риски, связанные с мифом и аналогичными моделями, и уже принимали оборонительные меры.
Когда министр финансов и председатель Федеральной резервной системы совместно вызывают генеральных директоров банков на срочное совещание, они сигнализируют о том, что риск является системным.
Ирония, проходящая через этот эпизод, острее.
2 марта Министерство финансов, Государственного департамента и Министерства здравоохранения и социальных служб, используя продукты, действуя на основании президентского указа, публично заявили, что Министерство финансов прекращает все использование.
9 марта Администрация общих служб прекратила использование Anthropic. 8 апреля федеральный апелляционный суд заблокировал блокировку Пентагоном Anthropic, продолжая судебное разбирательство.
Итак, на той же неделе чиновники вели активную закупку и спор по национальной безопасности с Anthropic, а также предупреждали крупнейшие банки страны о необходимости подготовиться к риску, связанному с возможностями Anthropic.
Что на самом деле изменил миф? Основание для официальной тревоги основано на материалах Anthropic, которые более конкретны, чем обычные заявления о запуске модели.
Anthropic заявляет, что миф обнаружил тысячи уязвимостей высокого уровня, включая ошибки в каждой крупной операционной системе и каждом крупном веб-браузере, и что более 99% из них остаются неисправленными.
Системная карта компании описывает модель как способную выявлять и использовать нулевые дни на этих платформах. Это тот вид возможностей, который, попав в неправильные руки или выпущенный без координации, сокращает время между обнаружением уязвимости и вооруженным нападением.
Ответ Anthropic на свои собственные находки заключался в том, чтобы ограничить доступ по структуре, которую они называют Проектом Glasswing, ограничив выпуск партнерами по запуску, включая Веб-сервисы, Broadcom, Cisco, CrowdStrike, Фонд Linux и Palo Alto Networks, а также более 40 дополнительных организаций, которые строят или поддерживают критическую программную инфраструктуру.
Anthropic обязался предоставить до 100 миллионов долларов в виде кредитов на использование и 4 миллиона долларов в виде пожертвований организациям по открытым источникам безопасности в рамках этой инициативы.
Компания также заявляет, что проинформировала официальных лиц США и ключевых заинтересованных сторон до выпуска, что означает, что встреча в Министерстве финансов отражала обоснованное официальное суждение, основанное на предварительном раскрытии.
Заявление Anthropic / факт Почему это важно для банков и регулирующих органов Тысячи уязвимостей высокого уровня обнаружены Предполагает, что возможность не является теоретической или узкой Ошибки обнаружены в каждой крупной операционной системе Имплицирует широкую поверхность атаки на общую инфраструктуру Ошибки обнаружены в каждом крупном веб-браузере Расширяет уязвимость за пределы одного поставщика или одного стека Более 99% остаются неисправленными Увеличивает срочность вокруг сроков обороны Модель может выявлять и использовать нулевые дни Сокращает разрыв между обнаружением и вооружением Доступ ограничен в рамках Проекта Glasswing Сигнализирует о том, что даже Anthropic рассматривала выпуск как высокий риск 40+ дополнительных инфраструктурных организаций участвуют Показывает, что беспокойство распространяется за пределы одной компании на основную программную экосистему Предварительные брифинги для официальных лиц США Предполагает, что реакция Министерства финансов и Федеральной резервной системы была обоснованной, а не реактивной Банки находятся в центре этого беспокойства, потому что они полагаются на более широкий программный стек.
План управления рисками сектора финансовых услуг Министерства финансов от января 2025 года определяет концентрацию облака, программные цепочки поставок и возникающие, включая ИИ, как, предупреждая, что зависимость от общих поставщиков и программного обеспечения создает условия для каскадных сбоев.
Банки делят облачных поставщиков, программных поставщиков, платежные рельсы и системы очистки на протяжении всего сектора. Кибер-возможность, которая может эффективно обнаруживать и использовать неисправленные нулевые дни на каждой крупной операционной системе, может ударить по взаимосвязанной финансовой системе с нарастающей силой.
В этом ландшафте общая инфраструктура означает, что один класс уязвимости может одновременно достичь каждого узла.
Политический трек, делающий это неизбежным 18 февраля Министерство финансов объявило о государственно-частной инициативе для финансовых учреждений.
23 марта Министерство финансов и Совет по надзору за финансовой стабильностью, заявив, что идеи из него будут информировать работу Министерства финансов и Совета по укреплению устойчивости и финансовой стабильности, когда ИИ внедряется во все основные финансовые функции.
Отчет Федеральной резервной системы по кибербезопасности от июля 2025 года, укрепляя устойчивость облака и проводя планы реагирования на кибер-инциденты среди своих совместных приоритетов FBIIC/FSSCC.
Вашингтон строил концептуальную основу для этого на более долгий период.
В июне 2024 года Министерство финансов и Совет по надзору за финансовой стабильностью провели конференцию по ИИ и финансовой стабильности. На ней бывший секретарь Янукен идентифицировала непрозрачность, неадекватное управление рисками и концентрацию среди поставщиков моделей, поставщиков данных и облачных поставщиков как каналы, через которые ИИ может создавать системные уязвимости.
Отчет ФСБ от ноября 2024 года о каналах ИИ: зависимости третьих сторон и концентрация поставщиков услуг, корреляции, кибер-риски и неудачи моделей, данных и управления.
МВФ отдельно обнаружил, что кибератаки на финансовые фирмы составляют, и что размер экстремальных потерь вырос до 2,5 миллиарда долларов.
Миф заставил официальных лиц операционализировать рамку риска, над которой они работали почти два года.
Дата Институт Событие Почему это важно Июн 2024 г. Министерство финансов / Совет по надзору за финансовой стабильностью Конференция по ИИ и финансовой стабильности Установил раннюю системную рамку риска Июн 2024 г. Янукен Предупредила об непрозрачности, слабом управлении рисками и концентрации Определила основные уязвимые каналы Нояб 2024 г. ФСБ Отчет ИИ о системных уязвимостях Международная кодификация политики Янв 2025 г. Министерство финансов План управления рисками сектора финансовых услуг Назначил облако, цепочки поставок и ИИ в качестве основных рисков Июль 2025 г. Федеральная резервная система Отчет по кибербезопасности Включил риск ИИ, устойчивость облака и упражнения по реагированию на инциденты Фев 18, 2026 г. Министерство финансов Государственно-частная инициатива по кибербезопасности ИИ Перешел от теории к инструментам Мар 23, 2026 г. Министерство финансов / Совет по надзору за финансовой стабильностью Запустил серию инноваций ИИ Связал принятие ИИ с устойчивостью и стабильностью Апр 2026 г. Министерство финансов / Федеральная резервная система Срочное совещание генеральных директоров банков Операционализировал рамку Противоречие между отступлением Вашингтона от закупок и его предупреждением о финансовой стабильности было, по замыслу, проведено через два отдельных решения.
Прекращение государственных контрактов с поставщиком по причинам цепочки поставок или национальной безопасности является решением по закупкам и политике, которое проходит через один набор каналов. Оценка того, создают ли кибер-возможности передовой модели новый системный риск для финансового сектора, проходит через другой набор.
Встреча показывает, что эти каналы достигли одного и того же вывода о возможности с противоположных направлений, и что чиновники по закупкам перешли к ограничению воздействия правительства на Anthropic в качестве поставщика.
Официальные лица по финансовой стабильности перешли к предупреждению банков, что то, что представляет собой категорию риска, заслуживающую срочного внимания.
Обе реакции предполагают одно и то же основное суждение: что возможность класса мифа имеет реальные операционные последствия.
Решение заключается в том, что беспокойство Вашингтона о том, что построил Anthropic, пережило разрыв Вашингтона с Anthropic в качестве поставщика.
Что может последовать В случае бычьего сценария Проект Glasswing работает по плану.
Anthropic и его партнеры выявляют и исправляют значительные уязвимости до того, как возможности копирования достигнут открытого доступа, банки воспринимают этот опыт как структурированное упражнение по устойчивости, и этот эпизод становится первым демонстрацией того, что передовой ИИ является чистой положительной величиной для кибер-обороны, обнаруживая ошибки быстрее, чем противники могут их использовать.
Ограниченный выпуск Anthropic, его набор партнеров и обязательства по ресурсам поддерживают эту возможность, как и тот факт, что официальные лица получили предварительное брифинг, вступив в разговор до публичного раскрытия.
В случае медвежьего сценария дополнительные передовые модели с подобными или большими возможностями нападения появляются, или раскрытия вокруг мифа показывают более сжатый срок атаки, чем текущая контролируемая рамка публично признает.
Министерство финансов, Федеральная резервная система и финансовые регулирующие органы затем переходят от частных предупреждений к более строгим надзорным ожиданиям: более строгим требованиям к программной прозрачности, обязательным обзорам концентрации поставщиков, более жестким срокам отчетности об инцидентах и более строгим стандартам операционной устойчивости для банков, делящих общие облачные или программные зависимости.
Материалы ФСБ и Министерства финансов уже поставляют концептуальную и основу для этого эскалации.
Оценки МВФ об экстремальных потерях и предупреждения ФСБ о нарушении критической финансовой инфраструктуры объясняют, почему официальные лица перешли к активной подготовке, не дожидаясь демонстрационного инцидента.
Как быстро сдвигается баланс между нападением и обороной, когда больше лабораторий приближается к аналогичному уровню возможностей, является открытой переменной в обоих сценариях.
Стекло предполагает, что координированный, контролируемый доступ может удерживать преимущество достаточно долго, чтобы патчи закрыли пробелы, которые обнаружил миф. Это предположение действует только до тех пор, пока разрыв между передовым доступом и открытым доступом остается достаточно широким, чтобы дать усилиям реальную покупку.
Сценарий Триггер Реакция политики Воздействие на банки Бычий сценарий Glasswing работает, уязвимости исправлены, доступ остается контролируемым Продолжение закрытых координаций, ограниченные новые правила Банки воспринимают это как упражнение по устойчивости Базовый сценарий Больше беспокойства, но нет видимого инцидента Больше рекомендаций, больше проверок, больше обзоров поставщиков Больше давления на соблюдение и управление исправлениями Медвежий сценарий Больше моделей демонстрируют аналогичные возможности нападения Более строгие надзорные ожидания, правила программной прозрачности, давление отчетности об инцидентах Больше операционного бремени и более быстрые изменения контроля Риски хвоста Материальный сбой, связанный с общим программным/облачным воздействием Стиль координации в условиях кризиса через Министерство финансов, Федеральная резервная система, регулирующие органы Доверие рынка и операционная непрерывность становятся ключевыми проблемами, и решение Бессента созвать генеральных директоров банков на срочной основе является наиболее четким официальным признанием того, что официальные лица США считают, что расстояние сокращается быстрее, чем существующая кибер-постура финансовой системы может поглотить.
Пост впервые появился на.
По материалам CryptoSlate