Umělá inteligence od Anthropicu dokáže najít tisíce závažných bezpečnostních děr v operačních systémech a prohlížečích a vytvořit k nim funkční útočný kód za hodiny místo týdnů.
Když firma Anthropic v dubnu 2026 představila model Claude Mythos Preview, nepřišla s chatbotem na psaní e-mailů. Přišla s nástrojem, který v testech autonomně odhaloval kritické zranitelnosti v každém hlavním operačním systému a webovém prohlížeči a dokázal z nich vytvořit funkční exploity rychlostí, na kterou lidští penetrační testeři nemají odpověď. Finanční autority od Washingtonu přes Singapur po Frankfurt okamžitě zpozorněly. Důvod je prostý: banky stojí na složitých, vzájemně propojených a často starších systémech. A právě tam Mythos exceluje.
Co přesně Mythos umí a proč je to jiné
Dosavadní kyberútoky na banky vyžadovaly tým specialistů, čas na reverzní inženýrství a značnou dávku štěstí. Mythos tuto rovnici přepisuje. Podle technického zápisu Frontier Red Teamu Anthropic dokázali i lidé bez formálního bezpečnostního tréninku s pomocí modelu přes noc získat funkční exploit, a to u stejné zranitelnosti, kde profesionální testeři odhadovali týdny práce. V benchmarku CyberGym dosáhl Mythos skóre 83,1 %, zatímco předchozí špičkový model Opus 4.6 zvládl 66,6 %.
Klíčový posun není jen v rychlosti. Je ve škále a v tom, jak dramaticky klesají nároky na útočníka. Cesta od veřejně známé zranitelnosti (CVE) k funkčnímu útoku se zkracuje z dnů až týdnů na hodiny. Pro bankovní sektor to znamená, že okno, ve kterém mohou obránci nasadit záplatu dřív, než ji někdo zneužije, se drasticky zužuje.
Proč jsou banky obzvlášť zranitelné
Mezinárodní měnový fond opakovaně varuje, že kyberincident ve finančním sektoru může přerůst v systémový problém. Nejde o teoretický scénář. IMF přímo popisuje mechanismus, kdy narušení jedné instituce zablokuje mezibankovní platby, zastaví transakce a vyvolá odliv depozit, tedy klasický run na banku, jen spuštěný kódem místo panikou v novinách.
Banky přitom nejsou zasaženy stejně. Největší tlak dopadá na instituce s:
- komplexními a propojenými systémy, kde jedna chyba kaskáduje do dalších služeb,
- staršími core platformami, kde patchování trvá déle a testování je náročnější,
- rozsáhlou závislostí na třetích stranách, kde banka nekontroluje celý řetězec.
Toby Walsh, profesor umělé inteligence na UNSW, to v komentáři pro The Conversation shrnul bez příkras: software je tak komplexní, že je téměř nemožné zaručit jeho bezchybnost. A Mythos právě ukázal, jak efektivně se dá ta složitost obrátit proti obráncům.
Jak na tom jsou české banky
Stejnému typu hrozby čelí i české instituce, byť veřejná data nenaznačují, že by na tom byly hůř než zahraniční konkurence. ČNB ve zprávě o výkonu dohledu za rok 2024 uvádí, že páteřní bankovní systémy nezvyšují IT rizika nad očekávání dohledu a zastaralé systémy procházejí modernizací. NÚKIB zároveň zaznamenal, že už v roce 2024 se ve finančním sektoru objevovaly personalizovanější phishingové útoky naznačující využití umělé inteligence.
Regulatorní rámec DORA, který ČNB označuje za klíčový pilíř digitální provozní odolnosti, nutí banky testovat scénáře kyberútoků a posilovat reakci na incidenty. Veřejně ale není potvrzeno, že by některá česká banka přímo testovala Mythos nebo obdobný uzavřený model.
Pro českého klienta je podstatné jedno číslo: pojištění vkladů kryje 100 % vkladu do ekvivalentu 100 000 eur na jednoho klienta u jedné instituce, s výplatou od sedmého dne. Ani ochromení banky tedy neznamená automatickou ztrátu úspor.
Závod, který rozhodne o budoucnosti
Anthropic Mythos nezveřejnil pro širokou veřejnost. Zpřístupnil ho dvanácti startovním partnerům v rámci Project Glasswing, mezi nimi JPMorgan Chase, a dalším více než čtyřiceti organizacím, s investicí až 100 milionů dolarů v kreditech a 4 miliony dolarů v přímých darech open-source bezpečnostním projektům. Jde o pokus vybudovat obrannou infrastrukturu dřív, než stejné schopnosti získají útočníci. Že to není jen teorie, ukázal vyšetřovaný případ neoprávněného přístupu k Mythosu přes prostředí třetí strany.
Klíčová otázka podle nás už nezní, zda umělá inteligence jednou napadne banky. Zní, zda banky zvládnou zkrátit patchovací a reakční cyklus rychleji, než to samé zvládnou útočníci. Krátkodobě mohou zpřísnit okna pro bezpečnostní aktualizace, automatizovat třídění hrozeb a rozšířit testování podle DORA a TIBER-EU. Co nepůjde rychle, je úplná náhrada starších core systémů.
Co může udělat každý klient hned teď
Systémová hrozba je věcí regulátorů a bank. Ale nejčastější cesta k vykradení účtu vede přes samotného klienta, falešnou stránku, podvržený e-mail a potvrzenou MFA výzvu, kterou člověk sám nevyvolal. NÚKIB popsal konkrétní scénář, kdy oběť zadá přihlašovací údaje na podvrženou bankovní stránku a pak sama schválí dvoufázové ověření pro útočníka. Základní obrana:
- pravidelně aktualizovat telefon, počítač i bankovní aplikaci,
- přihlašovací adresu banky zadávat ručně, nikdy přes odkaz z SMS nebo e-mailu,
- nikdy nepotvrzovat MFA výzvu, kterou jste sami neiniciovali,
- nepoužívat bankovní identitu přes odkazy z nevyžádaných zpráv.
Výhodu v tomto závodě nezíská největší banka. Získá ji ta nejrychlejší, v patchování, v reakci na incident a v tom, jak rychle dokáže přesvědčit své klienty, že bezpečnost není jen její problém.
Lifestyle
|
PŘEČTENÍ: 2834
Lifestyle
|
PŘEČTENÍ: 2829
Lifestyle
|
PŘEČTENÍ: 8073
