Hvorfor Claude Mythos Preview er et advarselstegn for Wall Street

Anthropic's Claude Mythos Preview er ikke designet til at vælge aktier, fungere som kreditanalytiker eller handelsassistent.

Modellen befinder sig i et langt mere ubehageligt hjørne af kunstig intelligens: cybersikkerhed.

Anthropic siger, at Mythos kan identificere og udnytte hidtil ukendte softwaresårbarheder på tværs af de store operativsystemer og browsere.

For banker, kapitalforvaltere, forsikringsselskaber, børser og betalingsfirmaer rammer påstanden et område, der er langt mere følsomt end produktivitet.

Finansverdenen kører på fælles software, skytjenesteudbydere, betalingsinfrastrukturer, dataudbydere og årtiergamle interne systemer.

Hvis en AI-model kan finde svagheder hurtigere, end institutioner kan udbedre dem, er risikoen ikke længere blot et teknologiproblem. Den bliver et problem for markedstilliden.

Anthropic har ikke præsenteret Mythos Preview som en offentlig frigivelse.

Modellen håndteres med begrænset adgang, men det, modellen demonstrerer, er det afgørende for finanssektoren: AI-systemer bliver hurtigere til at finde softwaresårbarheder og omdanne dem til fungerende udnyttelser.

A cyber model with financial consequences

Den første fejl ville være at betragte Mythos som endnu en generel AI.

I modsætning til forbrugerrettede chatbots eller de AI-assistenter, der nu testes til forskning, compliance og kundeservice, er Mythos vigtig på grund af hvad det antyder om næste fase i maskinernes hurtige opdagelse af sårbarheder.

Anthropic har oplyst, at deres red-team-test viste, at Mythos Preview, når det blev instrueret af en bruger, kunne identificere og udnytte zero-day-sårbarheder i alle større operativsystemer og webbrowsere.

Det ville være opsigtsvækkende i enhver branche, men for finanssektoren er det særligt alvorligt.

Banker driver ikke kun hjemmesider og apps. De vedligeholder enorme teknologiske ejendomme, der omfatter kernebanksystemer, handelsplatforme, betalingsgateways, risikomotorer, kundedatabaser, cloud-implementeringer og forbindelser til tredjepartsleverandører.

En del af den infrastruktur er moderne, men meget af den er gammel, stærkt tilpasset og svær at erstatte.

I store institutioner kan det være en udfordring blot at identificere det fulde kort over softwareafhængigheder.

En model, der fremskynder opdagelsen af sårbarheder, ændrer trykforholdene. Forsvarsteams kan måske finde svage punkter tidligere.

Men angribere, hvis de tilegner sig tilsvarende kapabiliteter, kan muligvis presse tiden sammen mellem opdagelse og udnyttelse.

Det er det centrale dilemma: Mythos kan styrke det finansielle system, men kun hvis forsvarere kan absorbere og handle på dets fund hurtigere, end modstandere kan gøre lignende værktøjer til våben.

When prediction gets cheaper

Ajay Agrawal, professor ved University of Torontos Rotman School of Management og medforfatter til Prediction Machines og Power and Prediction, sagde til Invezz, at virkningen af avancerede AI-agenter bør opfattes som et skift i beslutningsøkonomien — ikke blot som en billigere måde at producere analyser på.

Den ramme er nyttig i forhold til Mythos, selvom modellens mest synlige kapabilitet er cyber frem for investeringsanalyse.

Hvis opdagelsen af sårbarheder bliver billigere, vil sikkerhedsteams stå over for flere fund, mere prioriteringsarbejde og flere beslutninger om, hvad der betyder mest.

Den knappe ressource kan ikke længere være evnen til at opdage en fejl, men evnen til at vurdere, hvilken fejl der er mest betydningsfuld.

Med andre ord kan finanssektorens flaskehals flytte sig fra detektion til ansvar.

The patching problem is the real pressure point

Finansielle institutioner bruger allerede mange midler på cybersikkerhed, men spørgsmålet er, om deres driftsmodel kan følge med i en verden, hvor AI-værktøjer producerer alvorlige sikkerhedsfund i et væsentligt hurtigere tempo.

At finde en sårbarhed betyder ikke, at problemet er løst.

Først skal teams tjekke, om fejlen påvirker deres systemer. Ingeniører skal teste den, risikoteams skal vurdere eksponeringen, og forretningsansvarlige skal forstå, om udbedring kan forstyrre kritiske tjenester.

Leverandører kan også være nødt til at udgive opdateringer, og tilsynsmyndigheder kan skulle informeres. I nogle tilfælde kan selve rettelsen skabe nye operationelle risici.

Den arbejdsgang er langsom, fordi bankteknologi ikke er et rent laboratorium. Det er et levende system, der skal forblive online.

Afsløringen af Mythos antyder en fremtid, hvor opdagelsessiden af cybersikkerhed bliver hurtigere og billigere, mens udbedringssiden forbliver begrænset af mennesker, styring, gammel arkitektur og regulatoriske forventninger.

Store banker kan have penge og personale til at reagere hurtigt. Mindre banker har det måske ikke.

Store skytjenesteudbydere kan muligvis løse et problem hurtigt, men en lille leverandør, der understøtter et vigtigt backoffice-system, kan tage meget længere tid.

Det betyder, at det svageste led måske ikke ligger inden for banken selv. Det kan ligge hos en ekstern leverandør, selvom banken er den, der lider det omdømmemæssige tab.

Why the IMF sees a financial-stability risk

Den Internationale Valutafond har allerede flyttet debatten ud over virksomhedernes cyberhygiejne.

Den har advaret om, at AI-drevne cyberværktøjer kan øge risici for finansiel stabilitet, især hvor institutioner er afhængige af fælles software og delte serviceudbydere.

Finansielle virksomheder er forbundet gennem mere end blot balancer. De er forbundet via operativsystemer, cloud-infrastruktur, betalingssystemer, markedsinfrastrukturer, beskednetværk, datafeeds og softwareleverandører.

En enkelt udnyttet svaghed i en bredt anvendt komponent kan derfor opføre sig mindre som en lokal teknologifejl og mere som et fælles chok.

Faren er ikke kun, at en enkelt bank bliver hacket. Det er, at mange institutioner samtidig opdager, at de deler den samme eksponering.

I det scenarie kan cyberrisiko blive likviditetsrisiko, markedsrisiko og tillidsrisiko.

Der er stadig buffere, idet IMF bemærker, at avancerede AI-cyberkapaciteter endnu ikke er bredt tilgængelige, og lukket, branchespecifik finanssoftware kan være sværere at angribe end open source-infrastruktur.

Men disse beskyttelser kan svækkes, efterhånden som kapabiliteter spredes, modeller forbedres, og angribere lærer at kombinere offentlige informationer med automatiserede værktøjer.

Regulators are shifting from concern to action

Den Europæiske Centralbank har handlet hurtigt for at sætte operationel robusthed tilbage i centrum af bankdebatten.

Frank Elderson, medlem af ECB's direktion og næstformand for dens tilsynsråd, har advaret om, at frontlinje-AI-modeller ændrer trusselslandskabet ved at sænke barrierer for angribere og øge hastigheden af udnyttelse.

ECB har også sagt, at bankerne har brug for flerårige investeringer i personale, systemer og styring, frem for en snæver teknologisk løsning.

Eldersons budskab var klart:

Den sondring er vigtig, da tilsynsmyndighederne tilsyneladende ikke betragter Mythos som et panikudbrud, men som bevis på, at langvarige cybersvagheder muligvis skal udbedres hurtigere.

Bankerne har brugt år på at opbygge robusthedsrammer, gennemføre cyber-stresstests og forbedre hændelsesrespons.

Men ankomsten af modeller, der mere effektivt kan finde og udnytte svagheder, ændrer tidshorisonten.

The attacker-defender race is becoming asymmetric

Den ubehagelige del af Mythos-historien er, at den samme kapabilitet kan hjælpe begge sider.

For forsvarere er en model, der kan inspicere kode, finde sårbarheder og hjælpe med at prioritere udbedring, værdifuld.

Den kunne hjælpe banker med at scanne gamle systemer, gennemgå tredjepartskode, teste interne værktøjer og finde svagheder før angribere gør det. Den kunne også reducere afhængigheden af knappe menneskelige cyberspecialister.

Men cybersikkerhed er ikke en ensidig kamp. Hvis lignende AI-kapabiliteter spreder sig ud over et fåtal kontrollerede laboratorier, kan angribere drage fordel lige så hurtigt som forsvarerne.

I modsætning til banker og sikkerhedsteams behøver angribere ikke at sikre et helt system; de behøver kun at finde et enkelt svagt indgangspunkt.

Anthropics egen beskrivelse af Mythos understreger betydningen af kapabiliteten:

“Mythos Preview er i stand til at identificere og derefter udnytte zero-day-sårbarheder i alle større operativsystemer og webbrowsere.”

Det betyder ikke, at alle angribere har adgang til Mythos, da Anthropic har præsenteret modellen som begrænset og kontrolleret.

Men udviklingen er tydelig nok til, at bankerne kan planlægge efter den.

A new risk premium for old technology

Mythos gør ikke finansverdenen usikker natten over, da sektoren fortsat er en af de mest regulerede og cybersikre dele af den globale økonomi.

Bankerne har brugt store beløb på sikkerhed, og mange bruger allerede AI til at opdage svindel, overvåge trusler og beskytte kunder.

Alligevel er modellen en advarsel om tempoet.

Finanssektoren er blevet mere digital, mere outsourcet og mere sammenkoblet, og selvom det har gjort systemet effektivt, har det også skabt fælles svigtpunkter.

Hvis AI forkorter den tid, det tager at finde og udnytte svagheder, bliver gamle patch-cyklusser, langsomme leverandørprocesser og fragmenteret ansvar mere farlige.

Vinderne vil ikke blot være de firmaer, der har adgang til den bedste model. Det vil være dem, der kan omsætte hurtigere opdagelser til hurtigere, sikrere beslutninger.

For Wall Street og det bredere finansielle system er Mythos derfor ikke kun en cyberhistorie. Det er en fortælling om, at operationel robusthed bliver til finansiel robusthed.

På et marked bygget på tillid kan evnen til at fortsætte driften under digitalt pres blive lige så vigtig som evnen til at absorbere tab på en balance.