澳洲監理怒吼：Anthropic「Claude Mythos」等前沿AI恐助長更大更快網攻，銀行資安追不上！

・ 2026 年 04 月 30 日

APRA警告前沿AI能加速漏洞發現，銀行須大幅提升AI風險治理與資安防護。

澳洲審慎監理機構（APRA）於4月30日向金融業發出警示，指出銀行整體資訊安全實務跟不上人工智慧(AI)技術演進速度，尤其是像Anthropic開發的Claude Mythos等「前沿AI」可能讓惡意攻擊者更快速、大規模地發現並利用系統漏洞，進而提升網路攻擊的機率、速度與規模。

背景與主旨 APRA在致銀行的信函與產業審查中發現，多數金融機構仍過度依賴AI供應商提供的模型簡報與摘要，未充分評估模型帶來的新型風險；同時，許多董事會在AI相關風險與技術識讀方面仍在建立能力，難以對管理層形成有效監督。監管機構警告，前沿AI具備高階程式撰寫與自動化分析能力，可能成為快速識別、量化並自動化利用漏洞的工具，對金融系統構成系統性風險。

事實、案例與證據 - APRA指出，Anthropic的Claude Mythos具備高階編碼能力，專家憂心其能前所未有地辨識資安弱點；Anthropic亦在受限計畫（Project Glasswing）下向包括Amazon、Microsoft、Nvidia與Apple等大型科技公司提供預覽存取。 - 澳洲銀行業協會執行長Simon Birmingham回應稱，銀行每年投入「數十億」資金強化資安，並持續檢視風險設定，認為銀行具備回應新興AI技術的能力。 - 信用評等機構S&P Global評估，未來1到5年內AI將影響亞太金融機構信用狀況，但多數銀行龐大的科技預算可部分抵銷負面影響，且AI亦可能帶來成本降低的正面效應。

深入分析前沿AI帶來的風險可分為技術面與治理面雙軸：技術面上，自動化漏洞掃描與高階程式生成可縮短從發現到利用的時序；供應鏈或第三方模型的弱點可能快速放大到多家機構。治理面上，若董事會與風險委員會未建立足夠的技術理解、未對模型採用、測試、供應商管理與存取控制制定嚴格政策，資安投資便可能無法有效防禦AI驅動的攻擊模式。

駁斥替代觀點對於「銀行已投入大量資源、會足以因應」的樂觀看法，APRA與安全專家指出：有資源不等於有針對性的AI風險治理。單純增加資安預算或傳統防火牆、入侵偵測並不足以對抗利用AI快速生成攻擊代碼或自動化滲透的情境；此外過度依賴供應商輸出而非進行獨立測試，亦會留下可被利用的盲點。換言之，資源需要重新聚焦於AI專屬的防護、滲透測試、藍紅隊演練與董事會層級的AI教育。

結論與未來展望（行動呼籲） APRA敦促銀行進行「步級式變革」（step change）——提升技術與治理能力：包括強化模型風險管理、限制敏感模型的存取、建立AI專屬滲透測試機制、強化第三方供應商稽核與董事會AI識讀訓練。若銀行能採取上述作為，可在未來1至5年內減緩AI對信用評等與營運風險的負面衝擊；反之，未能跟上技術與治理演進的機構，將面臨更高的被攻擊機率和更大的財務與信譽損失。監管面來看，若業界進展不足，APRA可能考慮推動更明確的法規或合規要求以填補治理缺口。