Logo ActuIA
发布
IA与银行:欧洲央行召集其银行商讨Mythos,但DORA并不保证对工具的主权访问

IA与银行:欧洲央行召集其银行商讨Mythos,但DORA并不保证对工具的主权访问

TLDR : 欧洲央行召集欧元区银行讨论网络安全风险,但现有法规不支持访问必要的AI工具。

目录

欧洲中央银行(BCE)于2026年5月25日这一周召集了受监管的欧元区银行,讨论与基础AI模型相关的网络安全风险——其中首当其冲的是Anthropic的Mythos工具,该工具集成在Project Glasswing项目中。截至2026年5月22日,欧盟与Anthropic之间关于欧洲银行访问Mythos的谈判仍陷入僵局,正如Crypto Briefing所报道:由法兰克福监管的机构暴露于与其美国竞争对手相同的软件漏洞中,而没有获得欧洲央行要求它们纳入其网络防御姿态的检测工具。自2025年1月17日起适用的DORA法规规定了一个统一的ICT风险管理框架,但未规定对第三方进攻性AI工具的主权访问——欧洲监管层迫使其银行行动,而不具备要求它们使用的工具。«有一系列网络安全问题我们多年来一直与银行合作,这些问题仍然有效,但考虑到AI的进步,它们需要更快地得到处理»(自由翻译),欧洲央行执行董事会成员、审慎监管委员会副主席Frank Elderson在2028年12月14日之前如是说。该工具仍然仅限于约四十个组织,主要是美国公司——没有一家欧洲银行上榜。

利用漏洞的周期加速

Elderson强调的紧迫性在于Mythos改变了攻击与防御之间的操作平衡。根据The Next Web依托于Elderson在FT的采访所报道的内容,该工具能够在银行系统中检测到数千个零日漏洞。审慎监管委员会副主席指出,目前软件修补程序的逆向工程可以在三十分钟内完成,而此前需要数周时间。这种从发布补丁到利用修补漏洞的武器化的时间缩短改变了补救的动态:在发布补丁后,机构在仍然易受攻击的窗口期显著缩短。至于范围,根据Anthropic的官方列表,项目的启动合作伙伴包括AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorgan Chase、Linux Foundation、Microsoft、Nvidia和Palo Alto Networks——基本上是十几家北美公司。路透社记录显示,获得访问权限的美国银行正在紧急进行修正,可能导致客户服务中断。美国一体化机构与欧元区银行之间的访问不对称,目前是一个事实,而非抱怨。

软件修正现在可以在三十分钟内逆向工程完成——而此前需要数周时间。

根据《金融时报》援引的欧洲央行执行董事会成员Frank Elderson(由The Next Web转述,2026年5月25日)。

DORA规定了义务而非杠杆

欧洲央行实施的框架由2022年12月14日第2022/2554号关于金融部门数字运营弹性的欧洲法规,即DORA提供,该法规于2025年1月17日生效,适用于二十多个类别的金融实体。其第5至16条规定了一个统一的信息和通信技术(ICT)风险管理框架;第26条组织了基于威胁的渗透测试(TLPT),即基于威胁情报的渗透测试。该法规的任何规定都没有提供对第三方进攻性AI工具的欧洲主权访问——这一点可以通过阅读文本本身来证明。单一监督机制(SSM)在BCE银行监督2025年度报告中指出,当发现重大ICT弱点时,SSM拥有强制措施:报告指出,在这种情况下,监管者可以要求制定包含里程碑、截止日期和专用资源的补救计划。就进攻性测试而言,TIBER-EU框架(基于威胁情报的道德红队测试,欧洲进攻性测试的框架)已更新以符合DORA,规范了与DORA第26条一致的渗透测试的执行。然而,这些工具规范了银行的操作,而没有提供欧洲央行今天要求它们纳入其网络姿态的检测工具。

美国的六周前例,欧洲部门当局的沉默

欧洲央行的召集发生在大西洋彼岸类似举措六至七周之后。根据AOL转述的路透社,2026年4月7日,财政部长Scott Bessent和美联储主席Jerome Powell在华盛顿召集了一次未公布的紧急会议,召集了美国系统性银行的领导者——包括花旗集团的Jane Fraser、摩根士丹利的Ted Pick、美国银行的Brian Moynihan。美国的领先并不在于其监管框架更为优越:NIST Cyber AI Profile,依托于AI风险管理框架1.0,仍然是一个自愿框架,美国银行业没有“访问权”统计地位于Mythos。华盛顿与法兰克福之间的不对称源于Anthropic对Project Glasswing范围的商业决定,而非规范层级。欧洲部门当局方面,欧洲银行管理局(EBA)和欧盟网络安全局(ENISA)迄今为止尚未在2025-2026年对Mythos类型的进攻性AI发布具体指导方针——2025年修订以符合DORA的EBA关于ICT风险管理的指导方针并未具体处理Mythos类型的进攻性AI。2022/2554号法规第26条是一个障碍:它组织了基于威胁情报的渗透测试(TLPT),但并未要求监管者保证被测试实体获得必要工具的主权访问——这一空白既未在DORA中填补,也未在2024年由欧洲监督当局(ESA)通过的监管技术标准中填补。

ActuIA的观点: 

法兰克福拥有的是一个框架,而不是一个工具。这是5月25日召集所传达的讯息:欧洲央行可以要求补救计划、里程碑、与TIBER-EU一致的渗透测试——但它无法向受监管的银行提供Anthropic仅限于四十个北美参与者可访问的漏洞检测器。审慎压力是真实的;操作杠杆则在其他地方。这个诊断不是新的:ENISA 2025年10月发布的《威胁景观2025》已经记录了欧洲范围内进攻性AI(如Xanthorox AI等)的职业化和漏洞利用周期的加速——但没有跟随的主权工业响应。对于受监管机构的风险和网络部门来说,在2026年6月FSB报告之前需要进行的工作是具体的:即刻记录欧洲方面实际可用的检测能力与欧洲央行审慎期望之间的差距——正是这一差距,而且仅此而已,才能在检查时提供保护。

翻译自 IA & banques : La BCE convoque ses banques sur Mythos, mais DORA ne garantit aucun accès souverain à l'outil

举报不当或不准确的内容