新加坡金融管理局 (金管局) 与银行总裁召开会议商讨人工智能网络威胁；董事会被告知需主导风险管理，而非交由IT团队负责

[新加坡] 随着能够自主识别和利用软件漏洞的前沿人工智能 (AI) 模型日益精密，新加坡金融管理局 (金管局) 与主要金融机构的总裁已召开会议，讨论由人工智能驱动的网络攻击所构成的威胁。

周二（5月5日），数名国会议员就 Anthropic 公司的 Mythos 模型提问，询问政府是否能接触此类模型、它们对新加坡金融体系和关键基础设施构成何种风险，以及由人工智能驱动的网络风险是否可能构成一类新的系统性金融风险。

据报道，这些模型能够自主识别零日漏洞，并将其串联成可行的攻击程序。

数码发展及新闻部高级政务部长 Tan Kiat How 在国会发言时表示，政府无法接触 Mythos 模型，也不知道有任何本地银行获准使用该模型。

Anthropic 公司仅在受控预览的情况下，向有限的合作伙伴发布了该模型。

从更广泛的层面来看，政府正与有机会接触 Mythos 的合作伙伴合作，以更好地了解其能力和影响，并与主要的人工智能实验室和网络安全公司保持密切工作关系，以追踪才艺拓展方面的新进展。

是持续演进，而非阶跃式变化

Tan 表示：“我们应将 Mythos 所带来的能力提升理解为持续演进的一部分，而非阶跃式的变化。”他指出，像 OpenAI 的 GPT-5.5 这类模型已展现出“相当的网络安全能力”，且应用更为广泛。

他补充说，开源人工智能模型也在迅速改进，并可能在数月内达到类似的能力水平。

Tan 表示，实际的危险在于速度。过去需要专家团队花费数周才能发现的漏洞，现在只需数小时甚至数分钟即可被自主识别，其速度超过了传统的补丁修复周期。

SEE ALSO

AI skills pull in higher salaries for engineers, as demand shifts to senior roles: report

Anthropic considering funding offers at over US$900 billion value

Microsoft cloud growth fails to ease investors’ AI concerns

EU countries, lawmakers fail to reach deal on watered-down AI rules

More

人工智能也正在改变攻击本身的性质——从旨在实时逃避检测的自我重写恶意软件，到用于诈骗公司数百万美元的深度伪造视频通话。新加坡的企业高管也曾遭遇过类似的攻击企图。

Tan 说：“这些攻击速度更快、可扩展性更强，而且复杂程度也显著提高。”

Tan 警告说：“我们尚未见到的是完全自主的人工智能代理程序执行端到端的攻击活动。但这只是时间问题。”

风险的放大

Tan 表示，因此风险并非源于 Mythos 等任何单一模型。“其根本性的转变更为广泛，风险是真实存在的。我们正以应有的严肃态度对待这些风险。”

“我们将人工智能驱动的网络风险视为现有系统性风险的放大，而不是一个全新的类别。”

Tan 表示，金融机构正以应有的严肃态度对待此事，并一直在加强其网络安全态势。

周二早些时候，新加坡网络安全局 (CSA) 向所有关键信息基础设施所有者的董事会和高层领导发函，敦促他们委托进行董事会级别的审查，以评估在面临前沿人工智能发展的情况下，其网络安全风险态势是否仍然足够稳健。

Tan 强调，这不应是仅交由 IT 团队处理的问题。他说：“这需要包括董事会成员和总裁在内的最高层领导的关注。”

无论一个机构运行的是信息技术 (IT)、运营技术 (OT)，还是两种类型的系统，这一点都同样适用。

他说：“当务之急是迅速把基础工作做好。”

五大优先事项

在此背景下，Tan 概述了各机构必须立即采取行动的五个领域。

首先，各机构应更新其信息技术 (IT) 和运营技术 (OT) 系统的网络安全风险评估，并特别关注从发现漏洞到被攻击者利用之间的时间窗口正在缩短这一问题。

其次，他们必须对其资产清单保持完全的可见性，因为大多数安全漏洞源于未受管理的资产，例如被遗忘的面向互联网的系统、第三方依赖项或影子云账户。

第三，随着漏洞披露与被利用之间的时间不断缩短，各机构必须从定期审计转向持续监控、自动检测和经过测试的事件响应。

第四，他们必须规范自身对人工智能工具的使用，因为这些工具可能会引入新的漏洞，尤其是在连接到敏感数据、代码或关键系统时。

新加坡网络安全局于2025年10月发布的《保障代理式人工智能安全附录》，为管理整个人工智能生命周期中的此类风险提供了实用指导。

第五，各机构应积极部署人工智能用于自身防御。以政府为例，其正在投资用于漏洞和补丁测试的人工智能驱动工具。

政府正通过行业合伙业务快速推进该领域的才艺拓展建设，同时发展内部能力，以避免依赖任何单一的外部供应商。

这些工具目前正在政府内部进行试点，待成熟后将推广至更多机构和关键信息基础设施所有者。

对中小企业和个人的帮助

Tan 指出，许多中小型企业 (SME) 缺乏专门的安全领导或 IT 团队。

为此，新加坡网络安全局的“新加坡企业网络安全计划”提供了易于获取的网络卫生指南，其中包括首席信息安全官即服务 (CISOaaS) 计划以及网络安全要点和网络信任标志，以帮助各机构评估和改善其安全状况。

这封由网络安全总监 David Koh 签署的信函明确指出，对关键信息基础设施所有者的期望超越了技术修复的范畴。

Koh 警告称：“前沿人工智能正以前所未有的速度加速发展，这可能导致您当前网络风险管理中所依据的假设——即您设计控制、措施和事件响应计划的基础——不再有效。”

除了遵循该机构提出的即时技术缓解措施外，董事会还应委托进行审查，评估在面临前沿人工智能发展的情况下，其网络安全态势是否仍然足够稳健。

该审查应涵盖五个方面：人工智能驱动的威胁是否已适当地纳入当前的风险评估中；机构是否对其关键系统和第三方依赖项有完全的可见性；以及鉴于攻击者的行动速度比以往任何时候都快，漏洞管理和事件响应是否足够迅速。

董事会还必须审查其机构自身对人工智能工具的使用是否得到适当的治理，以及可以在哪些方面部署人工智能来加强防御，包括对代码安全性的审查。

一旦发现差距，管理层应制定明确的补救计划，并在必要时将更多资源投向网络安全领域。

对于个人用户，Tan 指出了从新加坡网络安全局的“停一停，想一想”宣传活动中总结出的三个优先事项：使用双重身份验证和强密码；及时更新软件；以及使用 Scamshield 和防病毒软件等工具来保护设备和账户。

Tan 说：“政府将继续提高公众意识、制定标准，并支持各机构建立强大的网络防御体系。”

“但韧性取决于每个人的共同努力。我们必须及早果断地采取行动，并领先于威胁。”