ASIC попереджає фінансові компанії про кіберризики, пов’язані з ШІ

Комісія з цінних паперів та інвестицій Австралії (ASIC) попередила фінансові компанії посилити кіберзахист, посилаючись на те, що передові моделі ШІ, зокрема Mythos від Anthropic, можуть виявляти вразливості в софті, повідомляє Reuters. Уповноважена ASIC Сімоне Констант заявила, що компаніям потрібно діяти до того, як загроза стане зрозумілішою, і зосередитися на базових заходах кіберстійкості.

Регуляторний контекст

Попередження надійшло через місяць після того, як Австралійський орган пруденційного нагляду (APRA) випустив власне сповіщення про те, що практики безпеки не встигають за розвитком ШІ. Окреме дослідження Cambridge Centre for Alternative Finance показало, що лише 20% регуляторів упровадили передовий ШІ, а наглядові органи відстають від фінансових компаній у відстеженні нових ризиків.

Можливості експлойту Mythos

Попередній перегляд Mythos від Anthropologic виходить за межі виявлення вразливостей — він може писати працюючі експлойти для програмних недоліків. Модель самостійно знайшла та використала баг 27-річної давності в OpenBSD — відкритій ОС, створеній із фокусом на безпеку. Mythos також застосувала CVE-2026-4747, щоб досягти віддаленого виконання коду з правами root через Network File System (NFS) у FreeBSD — ще одній відкритій операційній системі.

Anthropic заявила, що модель виявила тисячі вразливостей із високою критичністю в ключових операційних системах і веббраузерах, багато з яких не виявляли роками або навіть десятиліттями. Доступ до Mythos Preview обмежений, а Project Glasswing об’єднує Amazon Web Services, команди безпеки Apple, Google, Microsoft, NVIDIA та інших, щоб убезпечити широко використовуваний софт до того, як подібні інструменти поширяться.

Вплив на економіку кібербезпеки

Ця здатність істотно змінює вартість і часові рамки для запуску кібератак. Баги, які раніше вважалися низькоризиковими, тепер викликають більшу стурбованість, бо Mythos Preview може збирати експлойти за години — робота, яку експерти з пенетрацінг-тестування, за їхніми словами, виконували б щонайменше за кілька тижнів із використанням традиційних методів. Цей зсув означає, що фінансовим компаніям та іншим організаціям можуть знадобитися швидші цикли виправлень і більш автоматизований захист.

Тести на інших «фронтирних» моделях ШІ вказують, що розвинені навички в кіберсфері супроводжують ширший прогрес у ШІ, тож загроза, імовірно, зростатиме.

FAQ

Що таке Mythos і чому це питання хвилює фінансові компанії?

Mythos — це передова модель ШІ від Anthropic, яка може виявляти вразливості в програмному забезпеченні та писати працюючі експлойти. ASIC попередила фінансові компанії, тому що Mythos здатна виявляти прогалини безпеки в широко використовуваних системах, скорочуючи час і вартість, потрібні для запуску кібератак, до ціни API-ключа. Модель продемонструвала здатність знаходити тисячі вразливостей із високою критичністю в операційних системах і веббраузерах.

Як швидко Mythos може генерувати експлойти порівняно з традиційними методами?

Mythos може створювати експлойти за години, тоді як експерти з пенетрацінг-тестування, за їхніми словами, для тієї ж роботи витратили б тижні, використовуючи традиційні методи. Це прискорення кардинально змінює економіку кібербезпеки та нагальність виправлення вразливостей.

Що роблять регулятори, щоб реагувати на кіберризики, спричинені ШІ?

ASIC порадила фінансовим компаніям посилити кіберзахист і зосередитися на базових заходах кіберстійкості, перш ніж загрози стануть чіткішими. Австралійський орган пруденційного нагляду (APRA) видав аналогічне попередження про те, що практики безпеки відстають від розвитку ШІ. Project Glasswing, до якого залучені великі технологічні та хмарні компанії, працює над тим, щоб убезпечити широко використовуваний софт до того, як інструменти для створення експлойтів наберуть поширення.