人工智慧在頂級隱私網絡 Zcash 中發現的重大漏洞,可能是一個警告信號,表明加密貨幣和銀行軟體中可能存在類似的未發現缺陷。
令加密貨幣社群擔憂的是,這個已在網絡中存在 4 年的漏洞,直到最近才由隱私代幣系統的非營利開發者 Shielded Labs 使用 Anthropic 最新發布的 Opus 4.8 AI 模型發現。Zcash 表示該漏洞「已修復」,但若未被發現,攻擊者本可藉此印製無限量的偽造代幣。
此消息已在加密貨幣社群引發恐慌,並導致 Zcash 代幣在過去 24 小時內下跌近 38%。部分網友甚至在社群媒體上表示:「加密貨幣已死。我們早該轉向 AI。」
現在,所有人都在問:隨著 AI 越來越強大,且全球正準備迎接 Anthropic 最新 Mythos 模型的發布(該模型據稱在識別和串聯系統弱點方面能力更強),加密貨幣產業的安全是否岌岌可危?
然而,知名加密貨幣創投公司 Dragonfly(Zcash 的早期投資者)及其管理合夥人 Haseeb Qureshi 對 AI 與加密貨幣安全有著略有不同的看法。他認為,AI 發現漏洞是件好事,因為這只會讓程式碼變得更好。
他在 X 平台上發文表示:「雖然 AI 發現了這個漏洞,但 AI 也將為整個類別帶來解決方案:形式化驗證。我對此非常看好,認為這是強化整個產業所有軟體的途徑。」
儘管 Haseeb 的公司繼續持有 Zcash 並看好 AI 在加密貨幣安全中的作用,但 AI 公司 SingularityNET 的執行長 Ben Goertzel 告訴 CoinDesk,類似的漏洞不僅限於加密貨幣安全,很可能也隱藏在傳統銀行系統中。
Goertzel 解釋道:「其他加密貨幣不會受到這個特定漏洞的影響,這只是 Zcash 實現中的一個簡單邏輯錯誤。」但他補充說,其他加密貨幣「極有可能存在類似漏洞,這些漏洞很可能在未來幾週和幾個月內被 AI 工具發現。」
此外,Goertzel 表示:「銀行和其他中心化機構的軟體基礎設施,也很可能在不久的將來被 AI 工具發現存在嚴重漏洞。」
「形式化驗證」
那麼,應對這種 AI 威脅的真正解決方案是什麼?
Qureshi 和 Goertzel 都表示,加密程式碼和全球軟體基礎設施必須轉向「形式化驗證」。
正如以太坊聯合創始人 Vitalik Buterin 所解釋的,該過程本質上是「以數學定理證明書寫的方式,使這些定理能夠被自動檢查」。他指出,隨著越來越先進的 AI 系統讓發現軟體漏洞變得更容易,AI 輔助的形式化驗證可能成為網路安全最重要的工具之一。
Qureshi 也呼應了這一觀點。
他說:「經過形式化驗證的加密技術在結構上就不可能有實作漏洞。」他補充道:「目前 AI 正在揭露我們所有軟體中的漏洞——瀏覽器、作業系統和區塊鏈也不例外。」他指出,形式化驗證的軟體將是「關鍵任務軟體唯一的前進道路」,這也是 Zcash 在其路線圖中的重點。
另一方面,Goertzel 解釋了為什麼開發者尚未使用這種形式化驗證流程來使他們的軟體固若金湯。
他認為,雖然 Zcash 使用的「Rust」程式語言可以進行形式化驗證,但開發者很少這麼做,因為這需要額外的工作。此外,Goertzel 指出,核心 Rust 程式庫經常使用難以驗證的「不安全」結構。
然而,將其重寫為安全版本會使軟體變慢:他指出,這個問題可以透過使用「超級編譯」等先進技術來提升效能以解決。
不對稱的安全戰
但實施這些保護措施說起來容易做起來難,安全公司 CertiK 的執行長兼聯合創始人 Ronghui Gu 告訴 CoinDesk。
Gu 表示,防禦這些威脅已成為一場不對等的戰鬥。
他說:「我們目前正目睹一場 AI 代幣消耗戰,駭客受利潤驅動動機強烈。為了找到漏洞利用方法,他們可以在單一目標(如某個專案或智慧合約)上燃燒大量 AI 代幣。」
Gu 解釋說,受利潤驅動的駭客目前正參與代幣消耗戰,燃燒大量運算能力來針對個別智慧合約。由於安全公司必須同時保護數百家客戶,他們無法在不承擔巨額資本成本的情況下,將同等集中的資源分配給單一目標。
為了防範這種不對稱風險,Gu 表示安全公司必須透過小型、按需的會話,將自動掃描器直接整合到日常開發工作流程中,同時依賴數學證明來確保合約滿足關鍵的安全屬性。
對 Gu 而言,挑戰不再僅僅是在攻擊者之前發現漏洞;而是如何快速擴展對這些漏洞的防禦,以跟上日益強大的 AI 系統的步伐。
雖然關於如何領先於此類漏洞的辯論可能會持續下去,但隨著 AI 變得更好、更快、更聰明,所有開發者面臨的問題是如何確保此類事件不再發生。
或許 ZODL 執行長 Josh Swihart(前 Electric Coin Company 執行長,Zcash 的關鍵開發者)說得最貼切:
Swihart 在其標題為「Never Again」的 X 文章中說:「更有趣的問題是我們如何確保漏洞永遠不再發生。最好的答案就是形式化驗證。」