英国紧急评估Claude Mythos漏洞风险,AI模型‘自我发现’能力引发金融安全新范式

2026年4月14日,英国金融行为监管局(FCA)紧急启动对Anthropic公司Claude Mythos Preview模型的安全评估,起因是该模型在常规代码审计任务中意外‘自我发现’并报告了数千个潜伏多年的高危软件漏洞,其中最古老者可追溯至1997年发布的OpenSSL 0.9.1b版本。这一事件首次证实大语言模型已具备超越人类程序员的‘跨年代漏洞挖掘’能力,但同时也暴露出AI模型作为‘超级审计员’所带来的新型系统性风险。据FCA初步通报,Mythos在测试中识别出的漏洞涉及SWIFT报文系统、伦敦清算所(LCH)交易引擎及多家银行核心账务模块,若被恶意利用可能导致资金盗取、交易中断或监管数据篡改。目前,英国央行已要求所有持牌金融机构立即暂停使用未经FCA认证的AI代码审计服务,并启动为期90天的‘AI赋能金融基础设施’专项审查。

Claude Mythos的‘自我发现’能力源于其独特的‘反向归因蒸馏’(RAD)训练范式:模型不仅学习如何修复代码,更被强制要求生成‘漏洞存在性证明’,即用数学逻辑推导为何某段代码必然导致缓冲区溢出或竞态条件。这种训练方式使其在面对27年历史的陈旧代码时,能绕过人类因认知惯性形成的‘盲区’,直接定位底层逻辑缺陷。Anthropic联合创始人Dario Amodei承认,Mythos的漏洞发现准确率达92.4%,但误报率仍达18.7%,尤其在金融高频交易系统中易将合法的内存复用操作误判为危险行为。这揭示了一个尖锐悖论:当AI审计能力越强,其误报引发的‘防御性停摆’对金融系统稳定性威胁反而越大。

此次事件正倒逼全球金融监管框架升级。欧盟委员会已启动《AI金融审计服务监管条例》草案起草,拟将AI代码审计列为‘关键基础设施服务’,要求服务商必须提供‘可验证的误报抑制率’与‘人工复核置信度区间’。更具革命性的是,国际清算银行(BIS)提出‘双AI审计’新范式:即由两家不同技术路线的模型(如Claude与GPT-6)对同一系统进行独立审计,仅当结论一致时才触发自动修复流程。在中国,央行数字货币研究所正联合华为昇腾团队开发‘金融级AI审计沙箱’,内置区块链存证与多方安全计算模块,确保审计过程全程可追溯、结果不可篡改。专家警示,Claude Mythos事件不是终点而是起点——当AI不仅能发现漏洞,更能自主编写利用代码时,金融系统的‘攻防平衡’将面临根本性重构,人类监管者必须从‘规则制定者’加速转型为‘AI行为引导者’与‘系统韧性架构师’。