Крупная ошибка, обнаруженная с помощью искусственного интеллекта в ведущей сети конфиденциальности Zcash, может служить предупреждением о том, что аналогичные необнаруженные уязвимости существуют в программном обеспечении для криптовалют и банков.
Криптовалютное сообщество обеспокоено тем, что ошибка, существовавшая в сети 4 года, была обнаружена лишь недавно некоммерческой организацией Shielded Labs, разрабатывающей систему приватных токенов, с использованием новой модели ИИ Opus 4.8 от Anthropic. По словам Zcash, уязвимость «уже устранена», однако если бы она осталась незамеченной, злоумышленники могли бы выпускать неограниченное количество поддельных токенов.
Раскрытие информации уже вызвало панику в крипто-сообществе и привело к падению токена Zcash почти на 38% за последние 24 часа. Некоторые пользователи даже писали в соцсетях: «Криптовалюта мертва. Нам следовало перейти на ИИ».
Теперь все задаются вопросом: по мере совершенствования ИИ и подготовки мира к выпуску новейшей модели Mythos от Anthropic, которая, как предполагается, обладает гораздо большими возможностями для выявления и связывания уязвимостей в системах, находится ли безопасность криптоиндустрии под угрозой?
Однако известная венчурная фирма Dragonfly (ранний инвестор Zcash) и ее управляющий партнер Хасеб Куреши (Haseeb Qureshi) придерживаются несколько иного мнения об ИИ и безопасности криптовалют. По его мнению, обнаружение уязвимостей с помощью ИИ — это хорошо, так как это лишь улучшит код.
«Хотя ИИ нашел эту ошибку, ИИ также предоставит решение для всей категории: формальную верификацию. Я очень оптимистично смотрю на это как на путь к укреплению всего программного обеспечения в отрасли», — написал он в посте на X.
В то время как фирма Хасеба продолжает удерживать Zcash и верит в роль ИИ в безопасности криптовалют, генеральный директор ИИ-компании SingularityNET Бен Гёртцель (Ben Goertzel) заявил CoinDesk, что аналогичные уязвимости не ограничиваются только безопасностью криптовалют, но, вероятно, скрываются и в традиционной банковской системе.
«Другие криптовалюты не подвержены этой конкретной ошибке, которая представляла собой простую логическую ошибку в реализации Zcash», — пояснил Гёртцель, добавив, что другие криптовалюты «определенно очень вероятно обладают аналогичными уязвимостями, которые, вероятно, будут обнаружены инструментами ИИ в ближайшие недели и месяцы».
Кроме того, Гёртцель отметил, что «программные инфраструктуры банков и других централизованных учреждений также очень вероятно содержат серьезные ошибки, которые будут обнаружены инструментами ИИ в ближайшем будущем».
«Формальная верификация»
Так каково же реальное решение этой угрозы со стороны ИИ?
И Куреши, и Гёртцель заявили, что криптографический код и глобальная программная инфраструктура должны перейти к «формальной верификации».
Этот процесс по сути представляет собой «написание доказательств математических теорем таким образом, чтобы эти теоремы можно было проверять автоматически», как объяснил соучредитель Ethereum Виталик Бутерин. Он отметил, что формальная верификация с помощью ИИ может стать одним из важнейших инструментов кибербезопасности, поскольку все более продвинутые системы ИИ упрощают обнаружение уязвимостей в программном обеспечении.
Куреши поддержал это мнение.
«Криптография с формальной верификацией по своей конструкции не может иметь ошибок реализации», — сказал он. «Прямо сейчас ИИ выявляет уязвимости во всем нашем программном обеспечении — браузеры, ОС и блокчейны не исключение», — добавил он, отметив, что программное обеспечение с формальной верификацией станет «единственным путем вперед для критически важного ПО», на чем Zcash сосредоточился в своей дорожной карте.
Гёртцель, в свою очередь, объяснил, почему разработчики еще не используют этот процесс формальной верификации для создания неуязвимого ПО.
Он утверждает, что хотя язык программирования «Rust», используемый Zcash, поддается формальной верификации, разработчики редко делают это, так как это требует дополнительной работы. Кроме того, Гёртцель отметил, что основные библиотеки Rust часто используют «небезопасные» конструкции, которые трудно верифицировать.
Однако их переписывание в безопасном виде замедлит работу ПО: проблема, которая, по его словам, может быть решена с использованием передовых методов, таких как «суперкомпиляция», для повышения производительности.
Асимметричная война в сфере безопасности
Но внедрение этих защитных мер легче сказать, чем сделать, заявил CoinDesk генеральный директор и соучредитель компании по безопасности CertiK Рунхуэй Гу (Ronghui Gu).
Гу отметил, что защита от этих угроз превратилась в неравный бой.
«В настоящее время мы наблюдаем войну потребления токенов ИИ, в которой хакеры сильно мотивированы прибылью, — сказал он. — Чтобы найти эксплойт, они могут сжечь огромное количество токенов ИИ на одной цели, например, на проекте или смарт-контракте».
Гу объяснил, что движимые прибылью хакеры в настоящее время участвуют в войне потребления токенов, сжигая огромные объемы вычислительных мощностей для атаки на отдельные смарт-контракты. Поскольку компании по безопасности должны одновременно защищать сотни клиентов, они не могут выделить те же концентрированные ресурсы на одну цель без значительных капитальных затрат.
Чтобы защититься от этого асимметричного риска, Гу заявил, что компании по безопасности должны интегрировать автоматические сканеры непосредственно в ежедневные рабочие процессы разработки через небольшие сессии по запросу, одновременно полагаясь на математические доказательства для гарантии того, что контракты соответствуют ключевым свойствам безопасности.
Для Гу задача больше не сводится к простому обнаружению ошибок раньше злоумышленников; речь идет о быстром масштабировании защиты от этих уязвимостей, чтобы успевать за все более мощными системами ИИ.
Хотя дискуссии о том, как опередить такие уязвимости, вероятно, продолжатся, по мере того как ИИ становится лучше, быстрее и умнее, вопрос для всех разработчиков заключается в том, как гарантировать, что подобные инциденты никогда не повторятся.
Возможно, генеральный директор ZODL Джош Свигарт (Josh Swihart, бывший генеральный директор Electric Coin Company, ключевого разработчика Zcash) выразил это наиболее точно:
«Более интересный вопрос в том, как мы гарантируем, что уязвимости никогда не появятся снова. Лучший ответ — формальная верификация», — написал Свигарт в своей статье на X под названием «Never Again».