Ein KI-Tool hat eine kritische Sicherheitslücke im Orchard Shielded Pool von Zcash identifiziert, der neuesten Datenschutzschicht der datenschutzorientierten Kryptowährung. Die Entdeckung, die von einem nicht namentlich genannten Forschungsteam gemacht wurde, ist einer der ersten bestätigten Fälle, in denen KI erfolgreich eine Schwachstelle in produktivem kryptografischen Code gefunden hat. Sie wirft auch unbequeme Fragen auf, ob die Werkzeuge, die Benutzer schützen sollen, mit den Maschinen Schritt halten, die sie jetzt knacken können.
Was die KI gefunden hat
Die Schwachstelle befand sich in Orchard, dem Shielded Pool der dritten Generation von Zcash, der stärkere Datenschutzgarantien bieten sollte als seine Vorgänger Sprout und Sapling. Details zur genauen Art der Schwachstelle wurden nicht veröffentlicht, aber die Forscher beschrieben sie als kritisch – das bedeutet, dass ein Angreifer die Anonymität von Transaktionen hätte brechen oder Guthaben abziehen können, wenn die Lücke ausgenutzt worden wäre. Das Entwicklungsteam von Zcash, die Electric Coin Company, wurde vor der Veröffentlichung der Ergebnisse informiert, und ein Patch wurde bereitgestellt.
Die wachsende Rolle der KI bei Sicherheitsaudits
Sicherheitsaudits stützten sich traditionell auf menschliche Experten, die Code Zeile für Zeile durchkämmten und dabei oft subtile Fehler übersehen, die selbst strengsten Überprüfungen entgehen. Die Zcash-Entdeckung zeigt, dass KI mehr tun kann, als nur das Scannen zu automatisieren – sie kann unerwartete Angriffsvektoren finden, nach denen Menschen nicht einmal suchen würden. Das ist sowohl vielversprechend als auch ein wenig beunruhigend. Wenn KI Schwachstellen in einem für Anonymität entwickelten System erkennen kann, kann sie sie wahrscheinlich in fast allem finden. Dieselbe Technologie, die dabei hilft, Kryptowährungen zu sichern, könnte eines Tages gegen sie eingesetzt werden.
Warum menschliche Aufsicht weiterhin wichtig ist
Das Forschungsteam, das die Schwachstelle entdeckte, ließ die KI nicht einfach laufen und hoffte auf das Beste. Sie setzten Einschränkungen, validierten Ergebnisse und überprüften die Ausgabe anhand bekannter Protokolle. Dieser Ansatz mit menschlichem Auge ist genau das, was in der Hype um vollständig autonome Sicherheitswerkzeuge fehlt. KI kann Anomalien markieren, aber sie kann noch nicht entscheiden, welche Anomalien es wert sind, behoben zu werden, oder wie man sie behebt, ohne den Rest des Systems zu beschädigen. Der Zcash-Fall ist keine Geschichte von Maschinen, die Prüfer ersetzen – es ist eine Geschichte von Maschinen, die Prüfern ein schärferes Auge verleihen.
Was als Nächstes für Zcash und darüber hinaus kommt
Der Patch für Orchard wurde an die Benutzer ausgerollt, aber die Auswirkungen dieser Entdeckung werden länger brauchen, um sich zu klären. Die Electric Coin Company hat nicht gesagt, ob sie KI-gestützte Audits als Standardpraxis übernehmen oder den Fund als Einzelfall behandeln wird. Für die breitere Kryptowährungsbranche stellt sich die Frage, ob sie jetzt KI-Prüfungen in Entwicklungspipelines integrieren oder warten soll, bis die nächste kritische Schwachstelle auftaucht. Dieser Moment, wie Zcash gerade gelernt hat, könnte früher kommen, als irgendjemand erwartet.
