Резервный банк Индии начал переговоры с регуляторами в США, Великобритании и ряде азиатских стран, а также с крупнейшими индийскими банками, чтобы понять, какие риски для банковской инфраструктуры несет новый искусственный интеллект Mythos от компании Anthropic. Причина проста: этот ИИ умеет находить уязвимости в программном обеспечении быстрее и глубже, чем большинство живых специалистов по кибербезопасности, и именно финансовый сектор с его старыми системами оказывается в первой линии риска.
Сейчас доступ к Mythos намеренно ограничен несколькими десятками организаций, в том числе участниками программы Project Glasswing и около сорока компаний, которые обслуживают критическую цифровую инфраструктуру; единственный публично подтвержденный банк‑пользователь — JPMorgan. На этом фоне индийский регулятор и Национальная корпорация по платежам Индии стремятся получить ранний доступ к Mythos, чтобы протестировать уязвимости в собственной платежной инфраструктуре еще до массового появления подобного ИИ у злоумышленников.
Что происходит в Индии
По данным Reuters, Резервный банк Индии в последние две недели ведет консультации с Федеральной резервной системой США и Банком Англии о рисках Mythos для банковского сектора и о возможных регуляторных ответах. Параллельно регулятор обсуждает тему с индийскими банками и чиновниками, пытаясь сформировать единую линию обороны еще до того, как модель получит широкое распространение.
Национальная корпорация по платежам Индии добивается раннего доступа к Mythos совместно с небольшой группой банков, чтобы использовать модель как «рентген» для собственной инфраструктуры и выявлять так называемые «нулевые дни» — новые уязвимости до того, как они будут использованы преступниками. Но доступ к Mythos осложнен: модель размещена на серверах с жестким контролем в США, а прогон локальных индийских данных через такую систему юридически и технически непрост, особенно на фоне строгих требований Индии к хранению платежных данных внутри страны.
Регулятор в Индии параллельно готовит общие правила для банков и финансовых компаний, которые будут использовать мощные системы искусственного интеллекта, включая Mythos и другие модели Anthropic, и уже обозначил, что любая аналитика на данных индийских клиентов должна соответствовать требованиям локализации данных и храниться на серверах внутри страны. Это означает, что даже при получении доступа к Mythos Индия будет добиваться архитектур, где сырой клиентский массив остается в юрисдикции страны, а наружу уходят только обезличенные или агрегированные результаты анализа.
Что такое Mythos и почему он опасен для банков
Mythos — это новая модель искусственного интеллекта Anthropic, которая специально оптимизирована под работу с программным кодом, поиском ошибок и сложным техническим анализом. По оценке киберэкспертов и регуляторов, модель способна находить уязвимости в программном обеспечении, включая те, которые многие годы оставались незамеченными в критически важной инфраструктуре.
Anthropic уже признала, что Mythos выявила тысячи ранее неизвестных багов, в том числе в системах, которые считаются «позвоночником» цифровой экономики. Из‑за этого модель была изначально выпущена в ограниченном режиме: доступ получили только участники инициативы Project Glasswing и около сорока организаций, которые разрабатывают или поддерживают ключевую программную инфраструктуру.
Для банковской системы опасность в том, что большинство глобальных и национальных банков до сих пор завязаны на старые, сложные для модернизации платформы: от мэйнфреймов с кодом сорокалетней давности до платежных шлюзов, в которых патчи закрывают уязвимости с задержкой в месяцы. В такой среде появление полуавтоматического «охотника на уязвимости» создает асимметрию: тот, у кого есть Mythos или аналогичный инструмент, может сканировать банковские системы в разы быстрее, чем они успевают закрывать дыры.
Глобальная реакция: от Лондона до Сингапура
Реакция на Mythos уже вышла далеко за пределы Индии. Регуляторы в Азии, Европе и США официально предупредили банки о необходимости проверить готовность своих систем к возможным атакам, усилить мониторинг и переоценить планы киберзащиты. В Гонконге местный монетарный орган создает новую систему тестирования киберустойчивости и рабочую группу с участием банков и государственных структур, чтобы отдельным блоком заниматься рисками ИИ в кибербезопасности.
В Австралии надзорные органы также отслеживают использование Mythos и его возможное влияние на рынок, подчеркивая, что финансовые компании должны опережать технологические угрозы, а не догонять их постфактум. В Великобритании Банк Англии совместно с Национальным центром кибербезопасности и финансовыми регуляторами готовит срочную встречу с крупнейшими банками и страховщиками, чтобы обсудить, как Mythos, уже продемонстрировавший способность находить тысячи уязвимостей, может повлиять на устойчивость финансовой системы страны.
Параллельно в США и Европе звучат отдельные предупреждения о возможных последствиях для рыночной инфраструктуры: аналитики отмечают, что такой ИИ позволяет по‑новому использовать десятилетия накопленных рыночных данных и потенциально атаковать системы слежения за торгами и расчётные платформы, если уязвимости в них будут выявлены и не закрыты вовремя.
Индийский контекст: масштаб цифровых рисков
В индийском контексте угрозу усугубляет масштаб и скорость цифровых платежей. По оценкам отраслевых аналитиков, объем финансового сектора Индии, включая банки и небанковские организации, превышает 150 триллионов рупий, а нагрузка на инфраструктуру мгновенных платежей растет двузначными темпами. Только в марте 2026 года через индийскую систему мгновенных платежей было проведено более 22,6 миллиарда транзакций — каждый из этих платежей опирается на сложную связку старых и новых систем.
Крупные индийские финтех‑компании, такие как операторы цифровых кошельков и эквайринговых платформ, уже обратились к Anthropic с просьбой предоставить им ранний доступ к Mythos, чтобы протестировать собственные системы и сократить окно уязвимости. Это отражает двойственную логику рынка: с одной стороны, участники боятся модели, которая может привести к взлому; с другой — понимают, что без такого инструмента они будут слепы по сравнению с теми, кто его использует.
Для Резервного банка Индии это означает, что вопрос Mythos выходит за рамки «еще одного технологического риска» и превращается в задачу системной устойчивости всей цифровой экономики страны. Регулятору приходится одновременно сдерживать давление рынка, стремящегося к быстрому внедрению ИИ, и выстраивать правила, которые не позволят этой гонке закончиться масштабным инцидентом.
Почему регуляторы торопятся именно сейчас
На глобальном уровне Mythos стал своего рода стресс‑тестом для всей идеи «безопасного ИИ» в финансах. На встречах Международного валютного фонда тема рисков этой модели уже выносилась как отдельный блок, а регуляторы и центральные банки обсуждали, как совместно оценивать уязвимости и координировать ограничения доступа. Факт, что Anthropic изначально ограничила распространение Mythos и увязала его с отдельной программой доступа для инфраструктурных игроков, показывает: даже разработчик понимает, что неконтролируемый запуск такого инструмента может ударить по финансовой системе раньше, чем успеют адаптироваться правила.
Резервный банк Индии спешит по двум причинам. Во‑первых, индийская платежная инфраструктура уже стала объектом интереса злоумышленников, а высокая частота транзакций создаёт огромное поле для автоматизированных атак на уровне микросумм и массовых сценариев мошенничества. Во‑вторых, история киберинцидентов в банковской сфере показывает: когда новые средства атаки становятся публичными, окно, в течение которого защитники могут адаптироваться, измеряется не годами, а месяцами.
В этой логике ранний доступ к Mythos и аналогичным моделям — это не роскошь, а условие выживания: банки и регуляторы должны использовать те же инструменты, что и потенциальные киберпреступники, но на шаг раньше и в контролируемых условиях. Индия фактически заявляет, что не готова ждать, пока кто‑то покажет ей уязвимости на живых деньгах клиентов.
Исходя из текущих действий Резервного банка Индии и глобальной реакции, можно ожидать несколько четких шагов, которые изменят правила игры для всех финансовых институтов.
Во‑первых, в ближайшие один‑два года появятся обязательные сценарии тестирования критически важной банковской инфраструктуры с помощью моделей уровня Mythos, но под контролем регуляторов и независимых аудиторов. Эти тесты станут частью регулярных «учений» по киберустойчивости, как сегодня стресс‑тесты по капиталу и ликвидности.
Во‑вторых, сотрудничество между центральными банками разных стран станет практическим, а не декларативным: обмен данными об обнаруженных уязвимостях, общие списки «красных зон» и согласованные требования к поставщикам ИИ станут нормой, если финансовая система хочет избежать фрагментации обороны.
В‑третьих, усиливается роль требований по локализации данных и прозрачности доступа к ним. Индия уже использует этот рычаг, требуя, чтобы любые операции с данными клиентов осуществлялись в рамках ее юрисдикции, и эта линия, скорее всего, будет тиражироваться в других странах, которые попытаются совместить использование глобальных ИИ‑платформ с суверенным контролем над данными.
Наконец, можно ожидать роста целого класса компаний и решений, специализирующихся на «оборонительном ИИ» — инструментах, которые используют те же подходы, что и Mythos, но в интересах защиты банковских систем, автоматизации закрытия уязвимостей и сокращения времени реакции с месяцев до дней. Для финансового сектора, и особенно для Индии с ее взрывным ростом цифровых платежей, ставка проста: или он научится системно использовать такие инструменты раньше атакующих, или будет вынужден учиться на публичных сбоях и финансовых потерях.