欧洲央行要求110家银行四个月内制定AI网络攻击应对计划

Claire Weston
Published todayAbout 3 min read

欧洲央行7月7日致函欧元区110家银行CEO,限期10月31日前提交应对AI驱动网络威胁的综合行动计划——这是欧洲银行业监管首次将AI网络攻击从运营问题升级为系统性金融稳定议题。

01

欧洲央行到底要银行做什么?

监管委员会主席克劳迪娅·布赫致函110家银行CEO,要求提交"综合行动计划",内容涵盖管控措施、资源分配、职责划分和实施时间表四项。
信函明确指出,前沿AI模型(能力已远超传统AI的新一代模型)已对银行IT系统的保密性、完整性和韧性产生"潜在深远影响"。
这意味着→ 这不是一般的合规通知,而是带着明确截止日期和交付清单的监管指令
02

为什么突然把AI网络攻击当成系统性风险?

欧洲系统性风险委员会(ESRB,欧盟专门监测金融系统风险的机构)同日发布独立警告,将AI网络威胁定性为"金融系统系统性风险来源"。
ESRB指出,最新AI能以"远超以往的速度、规模和精准度"发现并利用漏洞,IT弱点可能在数分钟或数小时内被武器化——这被定义为网络安全领域的"范式转变"。
用大白话说= 过去黑客找到一个银行系统漏洞可能需要数周,现在AI能在几分钟内完成同样的事,而且可以同时攻击多个目标。
03

信里暗指的是哪类AI模型?

据《金融时报》报道,信函虽未点名具体模型,但明确指向"前沿人工智能模型",市场普遍将其与Anthropic旗下Mythos等模型关联。
此类模型的网络攻击能力已强至部分访问权限被限制,目前欧元区银行被排除在访问范围之外。
这反映出 监管层的担忧不只是"AI可能被坏人利用",而是AI本身的能力已经构成威胁,即使在受限条件下也需要防范。
04

风险到底能蔓延到什么程度?

ESRB列举了从小型银行丧失市场信任国家支持的间谍活动,再到针对支付、清算和结算系统的协同攻击等多种情景。
关键传染路径:金融行业共用的技术服务商和软件可能让事件迅速蔓延,大规模中断甚至可能引发对被认为安全性较低的机构或国家的"挤兑"
用大白话说= 银行用的底层技术供应商高度重叠,一家被攻破,恐慌可能像银行挤兑一样向"看起来更弱"的同行蔓延。
05

四个月够不够?监管做了什么配套?

为缓解资源压力,欧洲央行推迟了原定9月提交的年度IT风险问卷,银行现可延至明年2月提交。
欧洲央行同时表示,将对现场检查等其他监管活动作出个案调整
这意味着→ 监管层很清楚四个月的时限很紧,所以腾出了其他合规任务的空间——但行动计划本身的截止日期没有商量余地

Content is for reference only, not financial advice.

欧洲央行要求110家银行四个月内制定AI网络攻击应对计划 · nashnova