Badacz bezpieczeństwa, używając modelu Claude Opus 4.8 firmy Anthropic, w ciągu kilku dni odkrył krytyczną lukę w prywatnej puli Orchard Zcash, ujawniając podatność, która przetrwała cztery lata przeglądów przeprowadzanych przez czołowych kryptografów zajmujących się dowodami zero-wiedzy.

Ujawnienie to spowodowało spadek wartości ZEC o około 38% w czwartek i wzbudziło szersze obawy w branży kryptowalutowej dotyczące tego, że najnowsze modele AI stają się coraz bieglejsze w znajdowaniu luk niż większość ludzi.

"Znaczenie nie polega na tym, że AI potrafi znaleźć błędy," powiedział Ben Goertzel, założyciel i CEO SingularityNET, w rozmowie z Decrypt. "Chodzi o to, że zmienił się rodzaj błędów, które może teraz znajdować."

Zamiast po prostu wskazywać oczywiste błędy w kodowaniu, modele nowej generacji są coraz bardziej zdolne do wnioskowania, czy oprogramowanie działa zgodnie z zamierzeniami jego projektantów, powiedział.

W maju Taylor Hornby, badacz bezpieczeństwa zatrudniony przez Shielded Labs, odkrył krytyczną lukę w obwodzie Orchard Zcash z pomocą modelu Claude Opus 4.8 firmy Anthropic. Ukryty w dwóch linijkach kodu błąd wynikał z kontroli, która wydawała się walidować dane wejściowe transakcji, ale w rzeczywistości nie egzekwowała zamierzonych zasad, potencjalnie umożliwiając atakującemu tworzenie fałszywych ZEC wewnątrz puli chronionej bez wykrycia. Hornby zbudował działający exploit, aby zweryfikować lukę, zanim zgłosił ją deweloperom. Awaryjną poprawkę wdrożono 1 czerwca.

Do paniki, która ogarnęła Zcash i szerszy rynek kryptowalut w czwartek i piątek, przyczynił się fakt, że luka pozostawała niewykryta przez ponad cztery lata.

Dla Goertzela odkrycie jest znaczące nie tylko dlatego, że AI znalazło lukę, ale także dlatego, że wskazuje na nowy model badań bezpieczeństwa.

"Myślę, że to wczesny zwiastun zmiany, którą trudno będzie przecenić," powiedział. "Model badań bezpieczeństwa jako garstka cenionych ludzkich specjalistów wykonujących powolne, rzemieślnicze, głęboko specjalistyczne audyty nie zniknie, ale przestanie być jedyną grą."

Goertzel powiedział, że luka w Orchard należy do klasy subtelnych błędów logicznych, które najnowsze modele AI są coraz bardziej zdolne do znajdowania, w tym błędów w smart kontraktach, awarii kontroli dostępu oraz sytuacji, w których oprogramowanie zachowuje się inaczej niż zamierzali jego projektanci. W miarę poprawy tych możliwości, dodał, że badania bezpieczeństwa przesuwają się w kierunku modelu, w którym ludzcy specjaliści nadzorują ciągły, oparty na AI przegląd, który może analizować bazy kodu znacznie szerzej niż tradycyjne audyty.

Sama reakcja Zcash może stanowić zapowiedź tej przyszłości, powiedział Goertzel.

"Shielded Labs zatrudniające badacza specjalnie do polowania na luki na poziomie protokołu za pomocą modelu nowej generacji, zanim mógłby to zrobić złośliwy aktor, jest, jak podejrzewam, szablonem, a nie wyjątkiem," powiedział Goertzel. "Proaktywny, wspomagany AI, adversarialny od podstaw przegląd staje się standardem, a protokoły, które go nie przyjmą, będą coraz częściej dowiadywać się o swoich lukach od atakującego, a nie od przyjaznej strony."

Według Seana Rena, CEO Sahara AI i profesora informatyki na University of Southern California, postępy w AI zmieniają również równowagę między atakującymi a obrońcami, ponieważ modele nowej generacji mogą szybko testować strategie ataków, uczyć się z wyników i odkrywać słabości.

"Aby zbudować lepszą obronę, musimy używać tych najnowszych modeli AI jako potencjalnych atakujących do testowania tych systemów pod obciążeniem," powiedział Ren dla Decrypt.

Ren powiedział, że sieci blockchain są szczególnie narażone, ponieważ ich kod open-source może być analizowany bezpośrednio przez najnowsze modele AI, które mogą szybko testować strategie ataków i identyfikować luki szybciej niż tradycyjne przeglądy bezpieczeństwa.

"Jeśli pomyślimy o laboratoriach modeli nowej generacji, takich jak OpenAI, Anthropic i Google DeepMind, mają one wcześniejszy dostęp do najsilniejszych, niepublikowanych modeli i mogą przeprowadzać wiele eksperymentów na publicznych systemach sieciowych, takich jak blockchainy, więc mają moc w zasięgu ręki," powiedział. "Gdyby ktoś ze złośliwymi intencjami miał dostęp do tych możliwości, mógłby przeprowadzać ataki i tworzyć luki."

To okno może zamknąć się szybciej, niż wielu się spodziewa, a według Danny'ego Jenkinsa, CEO i współzałożyciela firmy cybersecurity ThreatLocker, wspomagane AI odkrywanie luk poprawia się szybciej, niż wiele organizacji jest w stanie zabezpieczyć oprogramowanie, na którym już polegają.

"Mamy ogromną lukę, którą będzie trzeba pokonywać przez lata," powiedział Jenkins dla Decrypt. "Całe to oprogramowanie będzie miało wszystkie te luki, nie będziemy mieć poprawek ani aktualizacji przez długi czas, a ludzie będą w stanie bardzo szybko znaleźć te luki."

Jenkins powiedział, że AI nie zmienia fundamentalnie badań nad lukami, lecz dramatycznie je przyspiesza. Zadania, które kiedyś wymagały od badaczy bezpieczeństwa ręcznego przeglądu kodu i inżynierii wstecznej oprogramowania, mogą być teraz wykonane w ciągu sekund przez nowoczesne modele.

"Przed AI, zagrożenia i exploity w cyberbezpieczeństwie rosły każdego roku," powiedział. "Po AI stało się to jeszcze szybsze, i myślę, że stało się szybsze z dwóch powodów. Po pierwsze, możesz teraz używać AI do znajdowania luk i exploitów, a liczba osób, które mają taką możliwość, masowo wzrosła. Nie musisz być już 'script kiddie'."

Mimo tych zagrożeń, Goertzel argumentował, że krypto może być również lepiej przygotowane niż inne branże do adaptacji, ponieważ jego kod jest otwarty, a jego społeczności są silnie skoncentrowane na bezpieczeństwie.

"Krypto stoi najbliżej drzwi, ale jest to również ta część pokoju, która widzi nadchodzące drzwi," powiedział.