Et AI-værktøj har identificeret en kritisk sikkerhedsfejl i Zcashs Orchard Shielded Pool, den privacy-fokuserede kryptovalutas nyeste privatlivslag. Opdagelsen, gjort af et forskerhold der ikke er offentligt navngivet, markerer et af de første bekræftede tilfælde, hvor AI med succes har fundet en sårbarhed i produktionskryptografisk kode. Det rejser også ubehagelige spørgsmål om, hvorvidt de værktøjer, der er beregnet til at beskytte brugere, holder trit med de maskiner, der nu kan knække dem.
Hvad AI fandt
Sårbarheden lå i Orchard, Zcashs tredjegenerations Shielded Pool, som var designet til at give stærkere privatlivsgarantier end sine forgængere, Sprout og Sapling. Detaljer om fejlens præcise natur er ikke offentliggjort, men forskerne beskrev den som kritisk – hvilket betyder, at den kunne have gjort det muligt for en angriber at bryde transaktionernes anonymitet eller tømme midler, hvis den blev udnyttet. Zcashs udviklingsteam, Electric Coin Company, blev underrettet, før resultaterne blev offentliggjort, og en patch er blevet implementeret.
AI’s voksende rolle i sikkerhedsrevisioner
Sikkerhedsrevisioner har traditionelt været afhængige af, at menneskelige eksperter gennemgår kode linje for linje, og de overser ofte subtile fejl, der passerer selv de mest grundige gennemgange. Opdagelsen i Zcash viser, at AI kan mere end blot at automatisere scanning – det kan finde uventede angrebsvektorer, som mennesker måske ikke tænker på at lede efter. Det er både lovende og lidt urovækkende. Hvis AI kan finde fejl i et system designet til anonymitet, kan det sandsynligvis finde dem i næsten alt. Den samme teknologi, der hjælper med at sikre krypto, kunne i sidste ende blive vendt imod det.
Hvorfor tilsyn stadig betyder noget
Forskerholdet, der fandt fejlen, lod ikke bare AI’en køre og håbede på det bedste. De satte begrænsninger, validerede resultaterne og krydstjekkede outputtet mod kendte protokoller. Den menneske-i-løkken-tilgang er præcis, hvad der mangler i hypen omkring fuldt autonome sikkerhedsværktøjer. AI kan markere anomalier, men det kan endnu ikke beslutte, hvilke anomalier der er værd at rette, eller hvordan de rettes uden at ødelægge resten af systemet. Zcash-sagen er ikke en historie om, at maskiner erstatter revisorer – det er en historie om, at maskiner giver revisorer et skarpere sæt øjne.
Hvad der kommer næste gang for Zcash og videre
Patchen til Orchard er blevet sendt til brugerne, men implikationerne af denne opdagelse vil tage længere tid at løse. Electric Coin Company har ikke sagt, om det vil indføre AI-assisterede revisioner som standardpraksis eller behandle fundet som en engangsforeteelse. For den bredere kryptovalutaindustri er spørgsmålet, om man skal begynde at indbygge AI-tjek i udviklingspipelines nu, eller vente til den næste kritiske sårbarhed dukker op. Det øjeblik, som Zcash lige har lært, kan komme hurtigere, end nogen forventer.
