问题——金融体系高度依赖数字基础设施,一旦网络攻击与高能力模型叠加,可能出现“门槛更低、速度更快、隐蔽性更强”的新型威胁;据知情人士披露,美国财政部与美联储近期财政部总部召集会议,与多家华尔街银行高管讨论某人工智能公司最新模型及类似系统的潜在风险。会议重点在于提示银行评估其对核心业务系统、支付清算、客户数据与交易平台的影响,并提前部署防护与应急机制。参会机构包括花旗集团、摩根士丹利、美国银行、富国银行和高盛集团等。另有报道称,摩根大通首席执行官未能出席。 原因——一是模型能力快速提升,使“攻防不对称”深入扩大。涉及的公司近期推出的高安全等级模型据称可在用户指令下识别并利用主流操作系统与网络浏览器漏洞,并曾发现某开源系统中长期存在的漏洞,显示其在漏洞挖掘、攻击路径规划与自动化利用上具备较强能力。二是金融业系统复杂、链条长,对外包与供应链依赖较高,任何单点缺口都可能被迅速放大。三是美国正处于关键基础设施网络风险高发阶段,叠加地缘政治因素与黑灰产活动活跃,监管部门对可能引发“系统性网络事件”的风险更为敏感。此外,该公司被指正推进资本市场计划,如何技术扩张与风险治理之间取得平衡,也成为外界关注点。 影响——从微观层面看,若攻击者获得类似能力工具,钓鱼、恶意脚本投递、权限提升与横向渗透的效率可能显著提高,进而导致客户信息泄露、交易中断或资金损失;从行业层面看,跨机构互联的支付与清算网络面临更强的连锁反应风险,舆情与信心波动可能放大市场压力;从监管层面看,网络事件可能演变为流动性紧张与风险偏好下降的触发因素,影响货币政策传导与金融市场稳定。对银行而言,技术风险正在从“信息部门事务”转变为“全行治理议题”,并对董事会责任、资本投入、外部审计与合规提出更高要求。 对策——会议释放的信号是“防在前、控到位”。业内人士认为,金融机构可从五上加固防线:其一,围绕核心系统提高渗透测试与红队演练频次,将“模型辅助攻击”场景纳入压力测试;其二,强化身份与权限管理,落实最小权限、零信任与关键指令双人复核,压缩横向移动空间;其三,完善补丁管理与资产盘点,加快关键漏洞修复,减少“已知漏洞长期未补”的暴露窗口;其四,提升供应链安全管理,对外部软件、云服务与第三方接口实施更严格的审查、隔离与监测;其五,建立跨机构情报共享与联动处置机制,推动与监管部门、关键技术企业的信息互通,形成可执行的应急预案与快速止损流程。 前景——从趋势看,高能力模型将持续提升软件开发与安全防护效率,但也可能被滥用,从而抬高风险上限。未来一段时期,美国金融监管部门预计将进一步把网络安全纳入宏观审慎框架,推动行业统一的风险评估标准、事件通报规则与演练机制,并可能对关键模型的接入方式、调用权限、数据边界与审计留痕提出更明确要求。技术企业方面,分级开放、严格授权、强化安全评估与外部监督,或将成为赢得市场信任的重要前提。对金融机构而言,能否把安全投入转化为可衡量的韧性能力,将决定其在新一轮技术变革中的风险承受力与竞争力。
技术进步正在改变网络空间的攻防格局。金融体系作为现代经济的关键基础设施,安全要求远高于一般行业。面对能力快速跃升的新工具,各方既要看到其在安全研究与漏洞修复中的积极作用,也要正视其被滥用可能带来的破坏性后果。通过更严格的治理、更扎实的防护和更顺畅的联动,把风险尽可能前置并纳入制度与技术约束,才能更好维护金融稳定与公众信心。