Anthropic må forklare Mythos-risiko for global finansvakt

Reuters melder at Anthropic skal orientere Financial Stability Board om cyber-sårbarheter som selskapets nye Mythos-modell har avdekket i det globale finanssystemet. Det er ikke en vanlig modellnyhet. Det er en ny type systemrisiko.

Ifølge Reuters bygger saken på en Financial Times-rapport. Bank of England-sjef Andrew Bailey skal ha bedt om orienteringen. FSB samler finansdepartementer og sentralbanker i G20-landene og koordinerer globale finansregler. Når en frontier-modell blir tema der, er signalet enkelt: AI-sikkerhet er ikke lenger bare CISO-mat. Det er finansstabilitet.

Reuters skriver samtidig at nyhetsbyrået ikke umiddelbart kunne verifisere FT-rapporten selv. Anthropic og FSB svarte ikke på Reuters' forespørsler før publisering. Det punktet er viktig. Saken bør leses som en rapportert orientering, ikke som en offisiell FSB-beslutning.

Likevel er substansen tung nok. Mythos Preview er Anthropic-modellen som selskapet selv har beskrevet som laget for å finne gamle og alvorlige sårbarheter i nettlesere, infrastruktur og programvare. Den er annonsert, men ikke bredt tilgjengelig. Anthropic har tidligere sagt at modellen har funnet tusenvis av alvorlige sårbarheter, inkludert feil i store operativsystemer og nettlesere.

Bailey advarte allerede i april om at Mythos kunne åpne en ny risikoflate. Reuters gjengir ham på at Anthropic kan ha funnet en måte å «crack the whole cyber risk world open». Det høres dramatisk ut, men poenget hans er praktisk: Hva skjer når en modell kan identifisere svakheter i andre systemer raskere enn vanlige sikkerhetsmiljøer klarer å lukke dem?

Fra sikkerhetsverktøy til finansiell stabilitetsrisiko

Banker og finansinfrastruktur lever på gamle kjernesystemer, lange leverandørkjeder og strenge endringsvinduer. Det er en dårlig kombinasjon hvis AI-modeller gjør sårbarhetssøk og exploit-utvikling billigere, raskere og mer tilgjengelig.

For norske banker, forsikringsselskaper, betalingsaktører og kritiske leverandører er ikke hovedspørsmålet om Mythos blir sluppet i morgen. Spørsmålet er om tempoet i sårbarhetsøkonomien allerede er endret. Hvis svaret er ja, holder ikke dagens rutiner for patching, leverandørvarsling og risikoklassifisering nødvendigvis.

Dette treffer også virksomheter utenfor finans. Nær alle større norske selskaper er koblet til finansielle prosesser, betalingsflyt, identitetsleverandører, skyløsninger og programvarekomponenter som de ikke selv kontrollerer. En AI-modell som finner flere feil hos leverandøren, blir raskt et problem i egen drift.

Det er her styrer og ledergrupper må inn. De bør ikke be om en demo av Mythos. De bør be om svar på fire spørsmål:

• Hvor raskt kan vi lukke en kritisk sårbarhet når exploit-koden kan komme samme dag?
• Hvilke leverandører har kontraktsfestet varslingsfrist, patch-SLA og dokumentert kompensasjon hvis de ikke leverer?
• Logger vi bruk av AI-kodeverktøy og sikkerhetsagenter godt nok til å se hvem som gjorde hva, med hvilke data og hvilke rettigheter?
• Har vi en kriseplan for en sårbarhet i en komponent vi ikke eier, men som ligger i kritisk verdikjede?

Den vanskelige dobbeltheten

Anthropic fremstiller Mythos som et defensivt verktøy. Det er troverdig. Samme type modell kan finne feil før angripere gjør det, hjelpe open source-miljøer som mangler sikkerhetsressurser, og gi store teknologiselskaper en bedre sjanse til å rydde gamle kodebaser.

Men det er også kjernen i risikoen. En modell som er god nok til å finne og kjede sårbarheter, er ikke bare et bedre skanningsverktøy. Den kan komprimere tiden fra svakhet til fungerende angrep. Da må kontrollene rundt tilgang, logging, modellbruk, eksport og menneskelig godkjenning være like viktige som selve modellprestasjonen.

For ledere betyr det at AI-cyber ikke bør plasseres i en egen innovasjonsboks. Det må inn i risikokomiteen, internrevisjon, innkjøp og beredskap. Sårbarheter er ikke lenger bare et teknisk restanseproblem. De er en styringsrisiko med direkte kobling til drift, regulatorisk tillit og kundetillit.

Den mest praktiske konsekvensen er å stramme patch- og leverandørregimet nå. Kritiske systemer må få kortere lukkevindu. Unntak må dokumenteres. Leverandører må kunne vise hvordan de selv bruker AI til å finne og fikse feil, og hvordan de hindrer at de samme verktøyene skaper nye angrepsflater.

Norske virksomheter bør også skille mellom tre typer AI-sikkerhet: modeller som finner sårbarheter, agenter som foreslår eller utfører endringer, og mennesker som godkjenner risiko. Hvis de tre rollene blandes, får man fart uten ansvar. Det er akkurat den kombinasjonen styrer bør være allergiske mot.

FSB-orienteringen, hvis den gjennomføres slik FT og Reuters beskriver, er derfor mer enn et møte om én modell. Den markerer at AI-modeller nå vurderes som mulig driver for systemisk cyberrisiko. Det er et nytt nivå.

For hogby.ai sin leser er konklusjonen enkel: Ikke vent på regulatoren. Kartlegg gamle systemer, skjerp patch-SLA, krev mer av leverandørene, og behandle AI-baserte sikkerhetsverktøy som privilegerte systemer. De skal ikke bare virke. De skal kunne ettergås.

Kilder og medier

• Primærkilde: Reuters, «Anthropic to brief global financial watchdog on cyber flaws exposed by Mythos, FT reports», publisert 18. mai 2026: https://www.reuters.com/technology/anthropic-brief-financial-stability-board-cyber-flaws-exposed-by-mythos-ft-2026-05-18/
• Reuters presiserer at saken bygger på Financial Times' rapportering, og at Reuters ikke umiddelbart kunne verifisere rapporten selv.
• Bakgrunn: Anthropic, Project Glasswing / Mythos Preview: https://www.anthropic.com/glasswing
• Mediebruk: Reuters-bildet er kun brukt som redaksjonell referanse/kontekst og er ikke rehostet.
• Thumbnail: OpenAI Image 2 / hogby.ai.