Page d'accueilCentre d'actualités LBank
Les modèles d'IA de pointe peuvent détecter les vulnérabilités majeures de la crypto. Des experts avertissent que l'industrie n'est pas prête.
frontier-ai-models-find-crypto-bugs-industry-isnt-ready
Les modèles d'IA de pointe peuvent détecter les vulnérabilités majeures de la crypto. Des experts avertissent que l'industrie n'est pas prête.
La vulnérabilité de Zcash, mise au jour grâce à Claude Opus 4.8 d'Anthropic, marque un tournant quant à l'identité des premiers à déceler les failles critiques.
2026-06-07 Source:decrypt.co
zec
ZEC
Sécurité Crypto
Vulnérabilité Zcash
Cybersécurité IA

En bref

  • Le chercheur en sécurité Taylor Hornby a utilisé Claude Opus 4.8 pour découvrir une faille vieille de quatre ans dans le pool de confidentialité Orchard de Zcash, qui aurait pu permettre la création illimitée de ZEC contrefaits.
  • Les chercheurs en cybersécurité affirment que les modèles d'IA de pointe sont de plus en plus capables de trouver des failles cryptographiques et logiques qui nécessitaient auparavant une expertise spécialisée approfondie.
  • Les experts avertissent que des capacités se rapprochant des systèmes de découverte de vulnérabilités les plus avancés d'aujourd'hui pourraient devenir largement disponibles d'ici quelques mois.

Un chercheur en sécurité utilisant Claude Opus 4.8 d'Anthropic a découvert une faille critique dans le pool de confidentialité Orchard de Zcash en quelques jours, exposant une vulnérabilité qui avait échappé à quatre ans d'examen par d'éminents cryptographes du zero-knowledge.

La divulgation a fait chuter le ZEC d'environ 38 % jeudi et a soulevé une préoccupation plus large pour l'industrie de la crypto concernant la capacité croissante des modèles d'IA de pointe à trouver des vulnérabilités, surpassant la plupart des humains.

"L'importance n'est pas vraiment que l'IA puisse trouver des bugs", a déclaré Ben Goertzel, fondateur et PDG de SingularityNET, à Decrypt. "C'est que le type de bug qu'elle peut désormais trouver a changé."

Plutôt que de simplement signaler des erreurs de codage évidentes, les modèles de pointe sont de plus en plus capables de raisonner sur le fait que le logiciel se comporte comme ses concepteurs l'avaient prévu, a-t-il déclaré.

En mai, Taylor Hornby, un chercheur en sécurité embauché par Shielded Labs, a découvert une faille critique dans le circuit Orchard de Zcash avec l'aide de Claude Opus 4.8 d'Anthropic. Caché dans deux lignes de code, le bug provenait d'une vérification qui semblait valider les entrées de transaction, mais ne faisait pas réellement respecter les règles prévues, permettant potentiellement à un attaquant de créer des ZEC contrefaits à l'intérieur du pool blindé sans être détecté. Hornby a construit un exploit fonctionnel pour vérifier la vulnérabilité avant de la signaler aux développeurs. Un correctif d'urgence a été déployé le 1er juin.

S'ajoutant à la panique qui a frappé Zcash et le marché crypto plus large jeudi et vendredi, il y a le fait que la faille était restée inconnue pendant plus de quatre ans.

Pour Goertzel, cette découverte est significative non seulement parce que l'IA a trouvé une vulnérabilité, mais aussi parce qu'elle indique un nouveau modèle pour la recherche en sécurité.

"Je pense que c'est un signe précoce d'un changement qu'il sera difficile de sous-estimer", a-t-il déclaré. "Le modèle de recherche en sécurité, où une poignée de spécialistes humains vénérés effectuent des audits lents, artisanaux et très experts, ne disparaît pas, mais il cesse d'être le seul mode de jeu."

Goertzel a déclaré que la faille d'Orchard appartient à une classe de bugs logiques subtils que les modèles d'IA de pointe sont de plus en plus capables de détecter, y compris les erreurs de contrats intelligents, les défaillances de contrôle d'accès et les situations où le logiciel se comporte différemment de ce que ses concepteurs avaient prévu. À mesure que ces capacités s'améliorent, il a ajouté que la recherche en sécurité s'oriente vers un modèle dans lequel des spécialistes humains supervisent un examen continu piloté par l'IA, capable d'analyser les bases de code bien plus en profondeur que les audits traditionnels.

La réponse de Zcash elle-même pourrait offrir un aperçu de cet avenir, a déclaré Goertzel.

"Le fait que Shielded Labs ait engagé un chercheur spécifiquement pour traquer les failles au niveau du protocole avec un modèle de pointe avant qu'un acteur malveillant ne puisse le faire est, je pense, le modèle, et non l'exception", a déclaré Goertzel. "L'examen proactif, augmenté par l'IA, de type 'adversarial-by-design' devient la norme, et les protocoles qui ne l'adopteront pas seront de plus en plus ceux qui apprendront leurs vulnérabilités de l'attaquant plutôt que d'un ami."

Selon Sean Ren, PDG de Sahara AI et professeur d'informatique à l'Université de Californie du Sud, les avancées de l'IA remodèlent également l'équilibre entre les attaquants et les défenseurs, car les modèles de pointe peuvent tester rapidement des stratégies d'attaque, apprendre des résultats et découvrir des faiblesses.

"Afin de construire une meilleure défense, nous devons utiliser ces modèles d'IA de pointe comme de potentiels attaquants pour mettre à l'épreuve ces systèmes", a déclaré Ren à Decrypt.

Ren a déclaré que les réseaux blockchain sont particulièrement exposés car leur code open-source peut être analysé directement par les modèles d'IA de pointe, qui peuvent tester rapidement des stratégies d'attaque et identifier les vulnérabilités plus vite que les examens de sécurité traditionnels.

"Si l'on pense aux laboratoires de modèles de pointe comme OpenAI, Anthropic et Google DeepMind, ils ont un accès précoce aux modèles non publiés les plus puissants et peuvent mener de nombreuses expériences sur des systèmes de réseaux publics comme les blockchains, ils ont donc le pouvoir en main", a-t-il déclaré. "Si quelqu'un ayant de mauvaises intentions avait accès à ces capacités, il pourrait mener des attaques et créer des vulnérabilités."

Cette fenêtre pourrait se refermer plus vite que beaucoup ne l'attendent, et selon Danny Jenkins, PDG et co-fondateur de la société de cybersécurité ThreatLocker, la découverte de vulnérabilités assistée par l'IA s'améliore plus rapidement que de nombreuses organisations ne peuvent sécuriser les logiciels sur lesquels elles s'appuient déjà.

"Nous avons un énorme fossé qu'il faudra des années et des années pour combler", a déclaré Jenkins à Decrypt. "Tous ces logiciels vont avoir toutes ces vulnérabilités, nous n'aurons pas de correctifs ou de mises à jour pour cela avant longtemps, et les gens pourront trouver ces vulnérabilités très rapidement."

Jenkins a déclaré que l'IA ne change pas fondamentalement la recherche de vulnérabilités, mais l'accélère considérablement. Les tâches qui exigeaient autrefois des chercheurs en sécurité qu'ils examinent le code et fassent de la rétro-ingénierie logicielle manuellement peuvent désormais être effectuées en quelques secondes par les modèles modernes.

"Avant l'IA, les menaces et les exploits de cybersécurité augmentaient chaque année", a-t-il dit. "Après l'IA, c'est devenu encore plus rapide, et je pense que c'est devenu plus rapide pour deux raisons. La première est que vous pouvez désormais utiliser l'IA pour aider à trouver des vulnérabilités et des exploits, et le nombre de personnes ayant la capacité de le faire a massivement augmenté. Il n'est plus nécessaire d'être un script kiddie."

Malgré ces risques, Goertzel a soutenu que la crypto pourrait également être mieux placée que d'autres industries pour s'adapter, car son code est ouvert et ses communautés sont fortement axées sur la sécurité.

« La crypto est la plus proche de la porte, mais c'est aussi la partie de la pièce qui voit la porte arriver », a-t-il déclaré.

Articles tendance
banner
Les forces de l'ordre avertissent que le Clarity Act pourrait entraver les enquêtes sur la criminalité crypto
Il y a 5 heures
banner
Cboe lance des contrats de marché de prédiction S&P 500 via Cboe Predicts
Il y a 14 heures
banner
Les critiques de la Loi CLARITY affirment que l'Article 604 pourrait affaiblir les enquêtes sur la criminalité crypto
Il y a 14 heures
Autres articles
banner
Le Groupe SBI lance JPYSC, le premier stablecoin du Japon adossé à une banque fiduciaire
Il y a 4 heures
banner
Les forces de l'ordre avertissent que le Clarity Act pourrait entraver les enquêtes sur la criminalité crypto
Il y a 5 heures
banner
Mark Cuban, Dallas Mavericks confrontés à un appel suite au rejet de l'affaire crypto Voyager
Il y a 5 heures
banner
Cboe lance sa suite de marchés de prédiction avec des contrats d'options binaires sur le S&P 500
Il y a 7 heures
banner
CEA Industries met fin à la lutte par procuration avec YZi Labs et ajoute Ella Zhang en tant qu'administratrice
Il y a 10 heures
banner
Adrian Boafo, soutenu par un PAC crypto, remporte la primaire démocrate du Maryland
Il y a 10 heures
Crypto populaire
Inscrivez-vous maintenant pour ne manquer aucune mise à jour !