Γιατί το Claude Mythos Preview είναι ένα καμπανάκι για τη Wall Street

Το Claude Mythos Preview της Anthropic δεν σχεδιάστηκε για να επιλέγει μετοχές, να εκτελεί πιστωτική ανάλυση ή να λειτουργεί ως βοηθός συναλλαγών.

Το μοντέλο τοποθετείται σε μια πιο άβολη γωνία της τεχνητής νοημοσύνης: την κυβερνοασφάλεια.

Η Anthropic δηλώνει ότι το Mythos μπορεί να εντοπίζει και να εκμεταλλεύεται προηγουμένως άγνωστες ευπάθειες λογισμικού σε κύρια λειτουργικά συστήματα και περιηγητές.

Για τράπεζες, διαχειριστές περιουσιακών στοιχείων, ασφαλιστικές, ανταλλακτήρια και εταιρείες πληρωμών, αυτή η δήλωση αφορά κάτι πολύ πιο ευαίσθητο από την παραγωγικότητα.

Ο χρηματοπιστωτικός τομέας βασίζεται σε κοινό λογισμικό, παρόχους cloud, υποδομές πληρωμών, προμηθευτές δεδομένων και δεκαετίες παλαιών εσωτερικών συστημάτων.

Αν ένα μοντέλο AI μπορεί να εντοπίζει αδυναμίες ταχύτερα από ό,τι οι οργανισμοί τις επιδιορθώνουν, ο κίνδυνος δεν είναι πλέον μόνο τεχνολογικό ζήτημα. Μετατρέπεται σε πρόβλημα εμπιστοσύνης της αγοράς.

Η Anthropic δεν έχει παρουσιάσει το Mythos Preview ως δημόσια γενική κυκλοφορία.

Το μοντέλο χειρίζεται μέσω περιορισμένης πρόσβασης, αλλά η ικανότητα που επιδεικνύει είναι αυτή που έχει σημασία για τα χρηματοπιστωτικά: τα συστήματα AI γίνονται ταχύτερα στο να εντοπίζουν και να μετατρέπουν αδυναμίες λογισμικού σε λειτουργικά exploits.

Ένα κυβερνο‑μοντέλο με χρηματοοικονομικές συνέπειες

Το πρώτο λάθος θα ήταν να αντιμετωπίσουμε το Mythos σαν ένα ακόμη γενικής χρήσης AI.

Σε αντίθεση με chatbots για καταναλωτές ή με βοηθούς AI που δοκιμάζονται τώρα για έρευνα, συμμόρφωση και εξυπηρέτηση πελατών, το Mythos έχει σημασία εξαιτίας αυτού που υποδηλώνει για την επόμενη φάση της ανακάλυψης ευπαθειών με ταχύτητα μηχανής.

Η Anthropic δήλωσε ότι οι δοκιμές red-team έδειξαν πως το Mythos Preview μπορούσε, όταν καθοδηγείται από χρήστη, να εντοπίσει και να εκμεταλλευτεί zero-day ευπάθειες σε κάθε κύριο λειτουργικό σύστημα και σε κάθε μεγάλο web browser.

Αυτό θα ήταν εντυπωσιακό σε οποιαδήποτε βιομηχανία, αλλά για τη χρηματοοικονομική σφαίρα είναι ιδιαίτερα σοβαρό.

Οι τράπεζες δεν διαχειρίζονται μόνο ιστοσελίδες και εφαρμογές. Διατηρούν τεράστια τεχνολογικά περιουσιακά στοιχεία που περιλαμβάνουν core banking συστήματα, πλατφόρμες trading, gateways πληρωμών, μηχανές κινδύνου, βάσεις δεδομένων πελατών, υλοποιήσεις cloud και συνδέσεις με τρίτους προμηθευτές.

Μέρος αυτής της υποδομής είναι σύγχρονο, αλλά μεγάλο μέρος είναι παλιό, βαριά προσαρμοσμένο και δύσκολο να αντικατασταθεί.

Σε μεγάλους οργανισμούς, ακόμη και ο εντοπισμός του πλήρους χάρτη των εξαρτήσεων λογισμικού μπορεί να αποτελεί πρόκληση.

Ένα μοντέλο που επιταχύνει την ανακάλυψη ευπαθειών αλλάζει την αναλογία της πίεσης. Οι αμυνόμενοι μπορεί να βρίσκουν αδύναμα σημεία νωρίτερα.

Όμως οι επιτιθέμενοι, εάν αποκτήσουν συγκρίσιμες ικανότητες, ενδέχεται να συμπιέσουν τον χρόνο μεταξύ εντοπισμού και εκμετάλλευσης.

Αυτό είναι το κεντρικό δίλημμα: το Mythos θα μπορούσε να ενισχύσει το χρηματοπιστωτικό σύστημα, αλλά μόνο εάν οι αμυνόμενοι μπορούν να απορροφήσουν και να δράσουν στα ευρήματά του ταχύτερα απ’ ό,τι οι αντίπαλοι μπορούν να οπλίσουν παρόμοια εργαλεία.

Όταν η πρόβλεψη γίνεται φθηνότερη

Ο Ajay Agrawal, καθηγητής στη Rotman School of Management του Πανεπιστημίου του Τορόντο και συν-συγγραφέας των βιβλίων Prediction Machines και Power and Prediction, είπε στο Invezz ότι ο αντίκτυπος των προηγμένων πρακτόρων AI πρέπει να θεωρηθεί ως μετατόπιση στην οικονομία της λήψης αποφάσεων, όχι απλώς ως ένας φθηνότερος τρόπος παραγωγής ανάλυσης.

Αυτό το πλαίσιο είναι χρήσιμο για το Mythos, παρόλο που η πιο εμφανής ικανότητα του μοντέλου είναι κυβερνο-ασφαλείας και όχι ανάλυσης επενδύσεων.

Εάν η ανακάλυψη ευπαθειών γίνει φθηνότερη, οι ομάδες ασφάλειας θα αντιμετωπίσουν περισσότερα ευρήματα, περισσότερη δουλειά τριάζ και περισσότερες αποφάσεις σχετικά με το τι έχει μεγαλύτερη σημασία.

Ο σπάνιος πόρος μπορεί να μην είναι πλέον η ικανότητα να εντοπίζεις ένα σφάλμα, αλλά η ικανότητα να κρίνεις ποιο σφάλμα έχει τη μεγαλύτερη σημασία.

Με άλλα λόγια, το σημείο συμφόρησης στον χρηματοπιστωτικό τομέα θα μπορούσε να μετακινηθεί από την ανίχνευση στην ευθύνη.

Το πρόβλημα της επιδιόρθωσης είναι το πραγματικό σημείο πίεσης

Οι χρηματοπιστωτικοί οργανισμοί ήδη δαπανούν πολλά στην κυβερνοασφάλεια, αλλά το ζήτημα είναι αν το λειτουργικό τους μοντέλο μπορεί να συμβαδίσει με έναν κόσμο όπου τα εργαλεία AI παράγουν σοβαρά ευρήματα ασφαλείας με πολύ μεγαλύτερη ταχύτητα.

Το να βρεις μια ευπάθεια δεν σημαίνει ότι το πρόβλημα έχει επιλυθεί.

Πρώτον, οι ομάδες πρέπει να ελέγξουν αν το σφάλμα επηρεάζει τα συστήματά τους. Οι μηχανικοί πρέπει να το δοκιμάσουν, οι ομάδες κινδύνου να αξιολογήσουν την έκθεση και οι επικεφαλής επιχειρήσεων να κατανοήσουν αν η επιδιόρθωση θα μπορούσε να διαταράξει κρίσιμες υπηρεσίες.

Επίσης, οι προμηθευτές μπορεί να χρειαστεί να κυκλοφορήσουν ενημερώσεις και οι ρυθμιστικές αρχές να πρέπει να ενημερωθούν. Σε ορισμένες περιπτώσεις, ακόμη και το ίδιο το patch μπορεί να δημιουργήσει νέους λειτουργικούς κινδύνους.

Αυτή η ροή εργασίας είναι αργή επειδή η τραπεζική τεχνολογία δεν είναι ένα καθαρό εργαστήριο. Είναι ένα ζωντανό σύστημα που πρέπει να παραμένει online.

Η αποκάλυψη του Mythos υποδηλώνει ένα μέλλον στο οποίο το κομμάτι της ανακάλυψης στην κυβερνοασφάλεια γίνεται ταχύτερο και φθηνότερο, ενώ το κομμάτι της αποκατάστασης παραμένει περιορισμένο από ανθρώπους, διακυβέρνηση, κληρονομική αρχιτεκτονική και ρυθμιστικές προσδοκίες.

Οι μεγάλες τράπεζες μπορεί να έχουν τα χρήματα και το προσωπικό για να ανταποκριθούν γρήγορα. Οι μικρότερες ίσως όχι.

Μεγάλοι πάροχοι cloud μπορεί να μπορούν να διορθώσουν ένα πρόβλημα γρήγορα, αλλά ένας μικρός προμηθευτής που υποστηρίζει ένα κρίσιμο back-office σύστημα μπορεί να χρειαστεί πολύ περισσότερο χρόνο.

Αυτό σημαίνει ότι το ασθενέστερο σημείο μπορεί να μην βρίσκεται εντός της τράπεζας. Μπορεί να είναι ένας εξωτερικός πάροχος, παρόλο που η τράπεζα είναι αυτή που υφίσταται τη ζημία στη φήμη.

Γιατί το ΔΝΤ βλέπει κίνδυνο για τη χρηματοπιστωτική σταθερότητα

Το Διεθνές Νομισματικό Ταμείο έχει ήδη προωθήσει τη συζήτηση πέρα από την εταιρική κυβερνο-υγιεινή.

Έχει προειδοποιήσει ότι τα εργαλεία κυβερνοασφάλειας με υποβοήθηση AI θα μπορούσαν να αυξήσουν τους κινδύνους για τη χρηματοπιστωτική σταθερότητα, ειδικά σε περιπτώσεις όπου οι οργανισμοί εξαρτώνται από κοινό λογισμικό και κοινόχρηστους παρόχους υπηρεσιών.

Οι χρηματοπιστωτικές εταιρείες συνδέονται μέσω περισσότερων στοιχείων από τους ισολογισμούς. Συνδέονται μέσω λειτουργικών συστημάτων, υποδομών cloud, συστημάτων πληρωμών, market utilities, δικτύων μηνυμάτων, ροών δεδομένων και προμηθευτών λογισμικού.

Μια μεμονωμένη εκμεταλλευμένη αδυναμία σε ένα ευρέως χρησιμοποιούμενο στοιχείο μπορεί επομένως να συμπεριφερθεί λιγότερο σαν τοπικό τεχνολογικό σφάλμα και περισσότερο σαν κοινό σοκ.

Ο κίνδυνος δεν είναι μόνο ότι μια τράπεζα παραβιάζεται. Είναι ότι πολλοί οργανισμοί ανακαλύπτουν, την ίδια στιγμή, ότι μοιράζονται την ίδια έκθεση.

Σε αυτό το σενάριο, ο κυβερνοκίνδυνος μπορεί να μετατραπεί σε κίνδυνο ρευστότητας, κινδύνου αγοράς και κίνδυνο εμπιστοσύνης.

Υπάρχουν ακόμη μερικά μπλοκ ασφαλείας, καθώς το ΔΝΤ σημειώνει ότι οι προηγμένες ικανότητες κυβερνο AI δεν είναι ακόμα ευρέως διαθέσιμες, και το κλειστό, ειδικό για τη βιομηχανία χρηματοοικονομικό λογισμικό μπορεί να είναι δυσκολότερο στόχος από την ανοικτή υποδομή.

Αλλά αυτές οι προστασίες μπορεί να εξασθενήσουν καθώς οι ικανότητες διαχέονται, τα μοντέλα βελτιώνονται και οι επιτιθέμενοι μαθαίνουν να συνδυάζουν δημόσιες πληροφορίες με αυτοματοποιημένα εργαλεία.

Οι ρυθμιστές μεταβαίνουν από την ανησυχία στη δράση

Η Ευρωπαϊκή Κεντρική Τράπεζα έδρασε γρήγορα για να επανατοποθετήσει την επιχειρησιακή ανθεκτικότητα στο επίκεντρο της τραπεζικής συζήτησης.

Ο Frank Elderson, μέλος του Εκτελεστικού Συμβουλίου της ΕΚΤ και αντιπρόεδρος του Εποπτικού Συμβουλίου της, προειδοποίησε ότι τα frontier AI μοντέλα αλλάζουν το σκηνικό της κυβερνο-απειλής μειώνοντας τα εμπόδια για τους επιτιθέμενους και αυξάνοντας την ταχύτητα εκμετάλλευσης.

Η ΕΚΤ έχει επίσης δηλώσει ότι οι τράπεζες χρειάζονται πολυετή επένδυση σε ανθρώπους, συστήματα και διακυβέρνηση, παρά μια στενή τεχνολογική λύση.

Το μήνυμα του Elderson ήταν ξεκάθαρο:

Αυτή η διάκριση έχει σημασία, καθώς οι ρυθμιστικοί φορείς δεν φαίνεται να αντιμετωπίζουν το Mythos ως πανικό γεγονός, αλλά ως απόδειξη ότι διαχρονικές αδυναμίες στην κυβερνοασφάλεια ίσως πρέπει να επιδιορθωθούν ταχύτερα.

Οι τράπεζες έχουν περάσει χρόνια χτίζοντας πλαίσια ανθεκτικότητας, διεξάγοντας cyber stress tests και βελτιώνοντας την ανταπόκριση σε περιστατικά.

Αλλά η άφιξη μοντέλων που μπορούν να εντοπίζουν και να εκμεταλλεύονται αδυναμίες πιο αποτελεσματικά αλλάζει το χρονοδιάγραμμα.

Ο αγώνας επιτιθέμενου‑αμυνόμενου γίνεται ασύμμετρος

Το άβολο μέρος της ιστορίας του Mythos είναι ότι η ίδια ικανότητα μπορεί να βοηθήσει και τις δύο πλευρές.

Για τους αμυνόμενους, ένα μοντέλο που μπορεί να ελέγχει κώδικα, να βρίσκει ευπάθειες και να βοηθά στην ιεράρχηση της επιδιόρθωσης είναι πολύτιμο.

Μπορεί να βοηθήσει τις τράπεζες να σκανάρουν παλιά συστήματα, να αναθεωρήσουν κώδικα τρίτων, να δοκιμάσουν εσωτερικά εργαλεία και να εντοπίσουν αδυναμίες πριν οι επιτιθέμενοι το κάνουν. Μπορεί επίσης να μειώσει την εξάρτηση από σπάνιους ανθρώπινους ειδικούς στην κυβερνοασφάλεια.

Αλλά η κυβερνοασφάλεια δεν είναι μονομερώς μια αντιπαράθεση. Εάν παρόμοιες ικανότητες AI διαδοθούν πέρα από λίγα ελεγχόμενα εργαστήρια, οι επιτιθέμενοι θα μπορούσαν να ωφεληθούν το ίδιο γρήγορα όσο και οι αμυνόμενοι.

Σε αντίθεση με τράπεζες και ομάδες ασφαλείας, οι επιτιθέμενοι δεν χρειάζεται να ασφαλίσουν ολόκληρο ένα σύστημα· χρειάζονται μόνο να βρουν ένα μεμονωμένο αδύναμο σημείο εισόδου.

Η ίδια η περιγραφή της Anthropic για το Mythos υπογραμμίζει τη σημασία της ικανότητας:

“Mythos Preview is capable of identifying and then exploiting zero-day vulnerabilities in every major operating system and every major web browser.”

Αυτό δεν σημαίνει ότι κάθε επιτιθέμενος έχει πρόσβαση στο Mythos, καθώς η Anthropic το έχει πλαισιώσει ως περιορισμένο και ελεγχόμενο.

Αλλά η κατεύθυνση της εξέλιξης είναι αρκετά σαφής ώστε οι τράπεζες να προγραμματίσουν με βάση αυτήν.

Ένα νέο risk premium για παλιά τεχνολογία

Το Mythos δεν καθιστά τη χρηματοδότηση ανασφαλή μόνο μέσα σε μια νύχτα, αφού ο κλάδος παραμένει ένας από τους πιο ρυθμιζόμενους και με υψηλή συνείδηση κυβερνοασφάλειας μέρη της παγκόσμιας οικονομίας.

Οι τράπεζες έχουν ξοδέψει μεγάλα ποσά για ασφάλεια και πολλές ήδη χρησιμοποιούν AI για την ανίχνευση απάτης, την παρακολούθηση απειλών και την προστασία πελατών.

Παρόλα αυτά, το μοντέλο αποτελεί προειδοποίηση για την ταχύτητα.

Η χρηματοδότηση έχει γίνει πιο ψηφιακή, πιο εξωτερικοποιημένη και πιο διασυνδεδεμένη, και ενώ αυτό έκανε το σύστημα αποδοτικό, δημιούργησε επίσης κοινά σημεία αστοχίας.

Εάν η AI συμπιέσει τον χρόνο που απαιτείται για τον εντοπισμό και την εκμετάλλευση αδυναμιών, τότε οι παλαιοί κύκλοι επιδιόρθωσης, οι αργές διαδικασίες προμηθευτών και η κατακερματισμένη λογοδοσία γίνονται πιο επικίνδυνοι.

Οι νικητές δεν θα είναι απλώς οι εταιρείες με πρόσβαση στο καλύτερο μοντέλο. Θα είναι αυτές που μπορούν να μετατρέψουν την ταχύτερη ανακάλυψη σε ταχύτερες, ασφαλέστερες αποφάσεις.

Για τη Wall Street και το ευρύτερο χρηματοπιστωτικό σύστημα, το Mythos δεν είναι λοιπόν μόνο μια ιστορία κυβερνοασφάλειας. Είναι μια ιστορία για το πώς η λειτουργική ανθεκτικότητα γίνεται χρηματοοικονομική ανθεκτικότητα.

Σε μια αγορά που βασίζεται στην εμπιστοσύνη, η ικανότητα να συνεχίσει κάποιος να λειτουργεί υπό ψηφιακό στρες μπορεί να καταστεί εξίσου σημαντική με την ικανότητα να απορροφά τις ζημίες σε έναν ισολογισμό.