hashtelegraph.com
Европейский центральный банк созвал экстренное совещание на 26 мая 2026 года — и поводом стала не очередная волатильность рынков, а ИИ-модель. Заместитель председателя наблюдательного совета регулятора Фрэнк Элдерсон (Frank Elderson) назвал Claude Mythos Preview от Anthropic «меняющей правила игры в кибербезопасности» — и тут же потребовал от банков ускорить внедрение защитных мер.
В интервью Supervision Newsletter ЕЦБ от 13 мая Элдерсон объяснил суть проблемы: раньше уязвимость можно было устранить в рамках планового обновления за несколько недель. Теперь этого времени нет. Злоумышленник способен восстановить уязвимость из опубликованного патча примерно за 30 минут — и модели класса Claude Mythos делают подобный сценарий вполне реалистичным.
Что такое Claude Mythos Preview
Это не серийный продукт для широкой аудитории. Anthropic представила модель в апреле 2026 года в рамках Project Glasswing — закрытой программы, ориентированной исключительно на оборонительную кибербезопасность. Модель тестируется более чем в 40 организациях: среди участников — Amazon, Apple, Google, Microsoft, JPMorganChase, Cisco, CrowdStrike и Palo Alto Networks.
Результаты тестирования, по данным Anthropic, впечатляют в буквальном смысле: модель нашла тысячи высококритичных уязвимостей нулевого дня в каждой крупной операционной системе и веб-браузере, включая бреши, существовавшие десятилетиями. В числе примеров — 27-летняя уязвимость в OpenBSD, позволявшая удалённо вызвать сбой системы, уязвимость в FFmpeg, а также цепочка уязвимостей в ядре Linux, открывавшая путь к получению root-доступа. Руководители компаний-участниц подтверждают: объём обнаруженного требует серьёзной работы по исправлению.
Почему европейские банки оказались в центре внимания
Прямого доступа к Claude Mythos Preview у банков еврозоны нет. Однако ЕЦБ настаивает: отсутствие доступа к инструменту не означает отсутствия угрозы. Та же логика, которая делает модель полезной для защиты, работает и в обратную сторону — злоумышленники, получив аналогичные возможности, резко сократят временной зазор между обнаружением уязвимости и её эксплуатацией.
Как уже описывалось в нашем материале об экономике кибератак, модели уровня Mythos переводят злоумышленника среднего уровня в совершенно другую весовую категорию: ИИ берёт на себя разведку, анализ кода и выстраивание цепочки атаки — задачи, которые прежде требовали часов ручной работы и высокой экспертизы.
Что означает срочность встречи
Регулятор не стал ограничиваться рекомендательными письмами. Формат экстренного совещания с крупными учреждениями — это сигнал об изменении уровня угрозы, а не просто плановая коммуникация. Элдерсон прямо подчеркнул: прежние подходы к кибербезопасности не устарели, но темп их внедрения должен принципиально измениться.
Для финансового сектора это означает пересмотр не только технических протоколов, но и временны́х стандартов реагирования: если патч публикуется, у атакующей стороны теперь есть минуты, а не недели.
Встреча ЕЦБ с банками состоялась 26 мая 2026 года. Anthropic продолжает расширять программу Project Glasswing, предоставляя участникам кредиты на использование модели и поддержку проектов open source. Следующий вопрос — насколько быстро финансовые институты смогут адаптировать внутренние процессы к новым временны́м реалиям киберугроз.
Мнение ИИ
С точки зрения исторических паттернов регуляторного реагирования, экстренные совещания такого рода — не новость для финансового сектора. Схожая по структуре реакция наблюдалась после появления первых автоматизированных инструментов эксплуатации уязвимостей в конце 2000-х, когда регуляторы США и ЕС также форсировали требования к срокам патчинга. Принципиальное отличие текущего момента — не сама угроза, а её масштабируемость: если прежние инструменты требовали узкоспециализированного оператора, то языковые модели потенциально снижают порог входа до уровня любого технически грамотного злоумышленника. Это меняет не категорию угрозы, а её экономику атаки.
Здесь есть и менее очевидный структурный риск: ускорение цикла патчинга, которого требует ЕЦБ, само по себе создаёт новые уязвимости — спешно выпущенные обновления исторически содержат больше ошибок. Получается своеобразная дилемма скорости: медленный патч опасен с одной стороны, торопливый — с другой. Насколько финансовые институты готовы выстроить процессы, где скорость и качество не противоречат друг другу?