Why Fed and Treasury leaders Powell, Bessent just rushed into a critical cyber-risk meeting
Почему лидеры Федеральной резервной системы и Министерства финансов Пауэлл и Бессент срочно созвали совещание по вопросам кибербезопасности
Предпочтение CryptoSlate на Google (открывается в новой вкладке)
Министр финансов Скотт Бессент и председатель Федеральной резервной системы Джером Пауэлл провели на этой неделе экстренное совещание с руководителями Уолл-стрит, обойдя обычный график брифингов и пригласив генеральных директоров банков на прямую беседу о киберрисках, связанных с искусственным интеллектом.
По сообщениям, целью встречи было убедиться, что банки осознают риски, связанные с моделями, такими как Mythos, и уже принимают меры защиты.
Когда министр финансов и председатель Федеральной резервной системы совместно созывают руководителей банков на экстренное совещание, это означает, что риск является системным.
Ирония этой ситуации очень велика.
2 марта Министерство финансов, Государственный департамент и Министерство здравоохранения и социальных служб приняли решение прекратить использование продуктов компании Anthropic, действуя по президентскому указу, при этом Бессент публично заявил, что Министерство финансов прекращает любое использование.
9 марта Управление общего обслуживания прекратило государственный контракт с компанией Anthropic. 8 апреля федеральный апелляционный суд отказался блокировать включение компании Anthropic в черный список Пентагона, несмотря на продолжающиеся судебные разбирательства.
Таким образом, в течение одной недели официальные лица вели активный процесс закупок и спор, связанный с национальной безопасностью, с компанией Anthropic, одновременно предупреждая крупнейшие банки страны о рисках, связанных со способностями, аналогичными возможностям Anthropic.
Что именно изменила модель Mythos
Основанием для официальной обеспокоенности являются собственные материалы компании Anthropic, которые более конкретны, чем обычные заявления о запуске моделей.
Компания Anthropic заявляет, что модель Mythos обнаружила тысячи уязвимостей высокой степени серьезности, включая недостатки в каждой основной операционной системе и каждом основном веб-браузере, и что более 99% из них все еще не устранены.
В описании модели говорится, что она способна выявлять и использовать уязвимости нулевого дня на этих платформах. Именно такие возможности, попав в чужие руки или выпущенные без координации, сокращают время между обнаружением уязвимости и ее использованием в качестве оружия.
В ответ на собственные выводы компания Anthropic ограничила доступ к технологии в рамках проекта под названием Project Glasswing, предоставив доступ только партнерам, включая Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia и Palo Alto Networks, а также более чем 40 другим организациям, которые разрабатывают или поддерживают критически важную программную инфраструктуру.
Компания Anthropic выделила до 100 миллионов долларов в виде кредитов на использование и 4 миллиона долларов в виде пожертвований организациям, занимающимся открытой безопасностью, в рамках этой инициативы.
Компания также заявила, что проинформировала американских официальных лиц и ключевых заинтересованных сторон до выпуска, что означает, что заседание Министерства финансов отражало обоснованное официальное решение, основанное на предварительном раскрытии информации.
Anthropic: утверждение / факт. Почему это важно для банков и регуляторов.
- Тысячи уязвимостей высокой степени серьезности обнаружены. Это указывает на то, что возможности технологии не являются теоретическими или ограниченными.
- Уязвимости обнаружены во всех основных операционных системах. Это подразумевает широкую область атак в общей инфраструктуре.
- Уязвимости обнаружены во всех основных веб-браузерах. Это расширяет область воздействия за пределы одного поставщика или одной платформы.
- Более 99% уязвимостей остаются неисправленными. Это повышает срочность мер по защите.
- Модель может обнаруживать и использовать уязвимости нулевого дня. Это сокращает временной промежуток между обнаружением и использованием.
- Доступ ограничен в рамках Project Glasswing. Это сигнализирует о том, что даже Anthropic рассматривала выпуск как представляющий высокий риск.
- Более 40 дополнительных организаций, занимающихся инфраструктурой, вовлечены. Это показывает, что опасения распространяются не только на одну компанию, но и на основные программные экосистемы.
- Предварительные брифинги для американских официальных лиц. Это предполагает, что реакция Министерства финансов и Федеральной резервной системы была основана на информации, а не на реактивной политике.
Банки находятся в центре этой проблемы, поскольку они зависят от более широкой программной инфраструктуры.
План управления рисками финансового сектора, опубликованный Министерством финансов США в январе 2025 года, определяет концентрацию использования облачных сервисов, цепочки поставок программного обеспечения и новые технологии, включая искусственный интеллект, как основные риски для сектора, предупреждая, что зависимость от общих поставщиков и программного обеспечения создает условия для каскадных сбоев.
Банки используют одних и тех же поставщиков облачных услуг, программного обеспечения, платежных систем и клиринговых систем во всем секторе. Кибервозможность, которая может эффективно обнаруживать и использовать необновленные уязвимости нулевого дня во всех основных операционных системах, может нанести сокрушительный удар по взаимосвязанной финансовой системе.
В этой ситуации общая инфраструктура означает, что один класс уязвимостей может затронуть каждый узел одновременно.
Политика, которая делает это неизбежным.
18 февраля Министерство финансов объявило о публично-частной инициативе, специально разработанной для создания практических инструментов для финансовых учреждений по управлению рисками кибербезопасности, связанными с ИИ.
23 марта Министерство финансов и Совет по надзору за финансовой стабильностью запустили серию мероприятий, посвященных инновациям в области ИИ, заявив, что полученные в ходе этих мероприятий знания будут использованы Министерством финансов и Советом для укрепления устойчивости и финансовой стабильности в связи с внедрением ИИ в основные финансовые функции.
В отчете Федеральной резервной системы за июль 2025 года, посвященном кибербезопасности, указано на необходимость оценки рисков, связанных с ИИ, а также на укрепление устойчивости облачных сервисов и отработку планов реагирования на киберинциденты, что является приоритетом для совместной группы FBIIC/FSSCC.
В Вашингтоне также разрабатывалась концептуальная основа для этого на протяжении более длительного периода.
В июне 2024 года Министерство финансов и Совет по надзору за финансовой стабильностью провели конференцию, посвященную ИИ и финансовой стабильности. На этой конференции бывший министр финансов Йеллен выделила непрозрачность, недостаточный риск-менеджмент и концентрацию среди поставщиков моделей, поставщиков данных и облачных провайдеров как каналы, через которые ИИ может создавать системные уязвимости.
В отчете МФС (Международного форума по финансовой стабильности) за ноябрь 2024 года были четко определены четыре основных канала системных уязвимостей: зависимости от третьих сторон и концентрация поставщиков услуг, взаимосвязи на рынке, киберриски, а также недостатки в моделях, данных и управлении.
Международный валютный фонд (МВФ) отдельно обнаружил, что кибератаки на финансовые учреждения составляют почти 20% от всех зафиксированных инцидентов, и что размер экстремальных убытков вырос до 2,5 миллиардов долларов.
Событие "Mythos" вынудило официальных лиц приступить к практической реализации системы управления рисками, над которой они работали почти два года.
CryptoSlate Daily Brief
Ежедневные сигналы, без лишнего шума.
Важные новости и контекст, представленные каждое утро в кратком обзоре.
Краткий обзор за 5 минут. Более 100 000 читателей.
Адрес электронной почты
Получить обзор
Бесплатно. Без спама. Отписка в любое время.
Ой, похоже, возникла проблема. Пожалуйста, попробуйте еще раз.
Вы подписались. Добро пожаловать на борт.
Дата Институция Событие
В случае "медвежьего" сценария, появляются новые передовые модели с сопоставимыми или превосходящими возможностями в области кибератак, либо раскрываются сведения о проекте Mythos, указывающие на более сжатые сроки реализации атак, чем это признается публично в рамках текущей контролируемой информации.
Министерство финансов, Федеральная резервная система и финансовые регуляторы переходят от частных предупреждений к более строгим требованиям надзора: ужесточению требований к отслеживаемости программного обеспечения, обязательным проверкам концентрации поставщиков, ужесточению сроков отчетности об инцидентах и более строгим стандартам операционной устойчивости для банков, использующих общие облачные или программные решения.
Материалы Совета по финансовой стабильности (FSB) и Министерства финансов уже содержат концептуальную и нормативную основу для такой эскалации. Оценки чрезвычайно высоких потерь, представленные Международным валютным фондом (МВФ), и предупреждения FSB о возможном нарушении работы критически важной финансовой инфраструктуры объясняют, почему официальные лица начали активную подготовку, не дожидаясь демонстрации реального инцидента.
Скорость изменения баланса между атакой и защитой по мере того, как все больше лабораторий достигают сопоставимых уровней возможностей, является ключевым неопределенным фактором в обоих сценариях.
Glasswing предполагает, что скоординированный и контролируемый доступ может обеспечить достаточно времени для устранения уязвимостей, обнаруженных проектом Mythos. Это предположение справедливо только до тех пор, пока разрыв между доступом к передовым технологиям и открытым доступом остается достаточно широким, чтобы обеспечить реальный прогресс в этой области.
| Сценарий | Триггер | Политика реагирования | Влияние на банки |
|---|---|---|---|
| Оптимистичный сценарий (Bull case) | Glasswing работает, уязвимости устраняются, доступ остается контролируемым | Продолжение скоординированных действий в закрытом режиме, ограниченное введение новых правил | Банки рассматривают это как учения по обеспечению устойчивости |
| Базовый сценарий (Base case) | Увеличение обеспокоенности, но без видимых инцидентов | Больше рекомендаций, больше проверок, больше обзоров поставщиков | Повышенное давление в области соблюдения требований и управления исправлениями |
| Пессимистичный сценарий (Bear case) | Появление новых моделей с аналогичными возможностями в области кибератак | Более строгие требования надзора, правила отслеживаемости программного обеспечения, давление в отношении отчетности об инцидентах | Большая операционная нагрузка и более быстрые изменения в системе контроля |
| Риск "черного лебедя" (Tail risk) | Значительные сбои, связанные с общими программными решениями/облачными сервисами | Координация действий в кризисной ситуации со стороны Министерства финансов, Федеральной резервной системы и регуляторов | Поддержание доверия рынка и операционной непрерывности становится ключевыми задачами |
Решение Джерома Пауэлла и Бессент созвать руководителей банков на экстренное совещание является наиболее явным официальным признанием того, что американские официальные лица считают, что этот разрыв сокращается быстрее, чем существующая кибербезопасность финансовой системы может это компенсировать.
Упомянуто в этой статье.
Anthropic
Apple
Amazon
Google
JPMorgan
Microsoft
Nvidia
Scott Bessent
Jerome Powell
Опубликовано в
Главные новости США Культура Политика Преступность Искусственный интеллект Сообщество
Контекст
Связанные материалы
Переключите категории, чтобы получить более подробную информацию или более широкий контекст.
СШАМестные новостиИскусственный интеллектОсновная категорияПресс-релизы
Отказ от ответственности
Мнения наших авторов являются исключительно их собственными и не отражают мнение CryptoSlate. Никакая информация, которую вы читаете на CryptoSlate, не должна рассматриваться как инвестиционный совет, и CryptoSlate не поддерживает ни один проект, который может быть упомянут или связан в этой статье. Покупка и торговля криптовалютами должны рассматриваться как деятельность с высоким уровнем риска. Пожалуйста, проведите собственное исследование, прежде чем предпринимать какие-либо действия, связанные с содержанием этой статьи. Кроме того, CryptoSlate не несет ответственности, если вы потеряете деньги, торгуя криптовалютами. Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашими отказами от ответственности.