監管暫緩對大型銀行資安測驗　給時間強化對抗Anthropic「Mythos」AI攻擊防線

・ 2026 年 05 月 20 日

聯準會與貨幣監理署延後部分資安稽核，讓銀行備戰Anthropic新一代AI可能衍生的攻擊風險。

美國聯邦儲備理事會（Fed）與貨幣監理署(OCC)已決定暫緩對部分大型銀行的既定資安測驗時程，目的是給予這些金融機構更多時間強化系統與流程，以應對與Anthropic最新Claude Mythos（俗稱Mythos）模型相關的資安威脅，據悉此事由多位熟悉情況的人士提供給彭博社（Bloomberg）並於5月19日揭露。

背景說明：上月Anthropic對外公佈Project Glasswing，一項利用其最強模型Claude Mythos Preview建構的資安專案，Anthropic表示將限縮對Mythos的存取，理由是該系統若被濫用可能成為資安攻擊的新動力。Anthropic已選定包含摩根大通（JPMorgan Chase）等少數企業合作，以便讓這些企業能用Mythos進行資安防禦測試。據報導，已取得Mythos存取權的大型美國銀行，包括摩根大通、摩根士丹利與高盛等，已組成秘密小組專責與該技術協作，並有銀行直接與聯邦情報機構協調威脅情資與因應方式。

監管立場與理由：聯準會監督副主席Michelle Bowman曾表示，監管機構會尋求有效監管新興技術（例如Mythos）的方式。暫緩考核的官方理由是，讓銀行有更充分時間理解新技術的運作與風險，並協助監管單位設計出能針對該類AI威脅的壓力測試與檢核專案，而非在資訊不充分下進行可能無效或不公平的查核。

風險面向與技術分析：專家警告，具高性能生成能力的AI模型可能被用來自動化釣魚郵件編寫、漏洞探勘、惡意程式碼生成或強化社交工程等攻擊手法，尤其當模型能理解金融系統結構與合規規範時，風險更難預測。大型銀行的系統與供應鏈規模龐大，一旦防護不足，潛在影響不只個別機構，亦可能擴散至金融市場穩定性。

反對意見與回應：部分觀點批評此舉可能成為監管放寬（regulatory forbearance）的藉口，延後檢測恐拖延必要的問責與修補；另有聲音憂心私人企業與監管合謀過度分享敏感技術引發道德或競爭問題。對此，支援暫緩者反駁說，若在缺乏充分理解的情況下倉促檢測，可能產生誤判或導致銀行採取過度限制性措施反而削弱防禦效率。且目前看來，監管機關並非放手不管，而是在與情報單位與業界協調，準備更具針對性與實效的檢核標準。

實務建議與後續作為：專家建議銀行應利用這段時間推動多項措施，包括：強化存取控管與權限分離、展開AI導向紅隊測試（red-teaming）、落實供應鏈與第三方軟體風險管理、提升日誌與異常偵測能量、以及與政府情報機構建立即時通報機制。監管面則可考慮發布明確指引、設定復測時程與量化評估指標，並要求關鍵系統的隔離與最低安全基準。

總結與展望：此次暫緩測驗反映出監管與業界在面對生成式AI帶來的新型資安風險時，傾向採取更謹慎、協調的做法。未來幾個月內，外界可望見到更具體的檢核標準、跨部門情資分享機制與針對AI風險的壓力測試框架；對銀行而言，這是一個必須把握的窗口期：快速補強防線、透明揭露測試成果，並主動與監管協力，以避免短期內出現系統性風險。