5月7日周四，国际货币基金组织（IMF）发出警告：以Anthropic公司Claude Mythos为代表的最新一代AI模型，正在将网络安全风险推升至可能引发"宏观金融冲击"的量级，并可能在金融系统层面造成"相关性失败"。这是IMF首次就最新AI模型带来的网络安全威胁专门发文。

IMF在博客文章中直接点名Mythos的近期受控发布，称其"凸显了风险上升的速度之快"。IMF还明确表示，金融机构的防线"不可避免"将被突破，呼吁各方将"韧性"——即限制事件扩散、确保快速恢复——列为优先事项。

这一警告的背景是：Mythos目前仅向40家以美国为主的机构开放，包括亚马逊、微软以及摩根大通等大型银行。大量非美国银行和金融机构尚未获得访问权限，由此引发外界对全球金融体系保护水平参差不齐的担忧。

Mythos究竟有多危险？

Anthropic上月披露，Mythos已"发现数千个高危漏洞，包括每个主流操作系统和浏览器中的漏洞"。Anthropic自己也警告称："对经济、公共安全和国家安全的冲击可能是严重的。"

这意味着什么？简单来说，以往黑客需要花费大量时间和成本去寻找系统漏洞，而Mythos这类AI模型可以大幅压缩这一过程。

IMF高级官员在文章中写道："先进AI模型能够大幅降低识别和利用漏洞所需的时间和成本，使得同时发现并攻击广泛使用系统中的弱点的可能性显著上升。"

更关键的是"同时"二字。金融机构普遍使用相同的软件和共享服务提供商，这意味着AI模型可能"在众多机构中同时制造漏洞"。一旦多家机构同时遭到攻击，IMF警告，"信心效应、支付中断、流动性紧张和甩卖动态可能随之而来"——这正是系统性风险的经典传导路径。

访问权限不均等，非美国机构暴露在外

Mythos目前处于受控发布阶段，获得访问权限的40家机构可以提前获知漏洞并进行"补丁"修复。但这一名单以美国机构为主，大量非美国银行和金融集团被排除在外。

据英国《金融时报》报道，已获得访问权限的公司表示，应对Mythos揭示的威胁，需要"公共和私营部门的联合行动"。

IMF对此明确指出："网络风险不尊重国界。"它特别提到，新兴市场和发展中国家往往面临更严重的资源约束，可能"不成比例地暴露于针对防御薄弱地区的攻击者"。

这对全球金融体系而言意味着一个结构性隐患：防御最薄弱的环节，恰恰可能成为系统性风险的引爆点。

IMF的具体建议

IMF承认，金融软件"比开源基础设施更难攻击"，但随即补充，这一优势"随着模型训练扩展、能力扩散和泄露的发生，可能很快被侵蚀"。

换言之，现有的相对安全只是暂时的。

IMF给出的应对建议包括：

• 网络压力测试和情景分析：模拟AI驱动的网络攻击对金融系统的冲击

• 董事会层面的网络风险监督：将网络安全纳入最高决策层的议程

• 公私部门在威胁情报和事件响应上的协作：打破信息孤岛

• 加强国际合作：尤其是帮助资源有限的新兴市场提升防御能力

IMF的核心逻辑是：与其寄望于"防住所有攻击"，不如同时建立"被攻破后如何快速恢复"的能力。