כלי בינה מלאכותית זיהה פרצת אבטחה חמורה במאגר המוגן Orchard של Zcash, שכבת הפרטיות העדכנית ביותר של מטבע הקריפטו המוכוון לפרטיות. התגלית, שנעשתה על ידי צוות מחקר שזהותו לא פורסמה ברבים, מהווה אחד המקרים המאומתים הראשונים שבהם בינה מלאכותית מצליחה למצוא פגיעות בקוד קריפטוגרפי הנמצא בשימוש ייצור. היא גם מעלה שאלות מטרידות לגבי האם הכלים שנועדו להגן על המשתמשים עומדים בקצב של המכונות שיכולות כעת לפרוץ אותם.
מה הבינה המלאכותית מצאה
הפגיעות הייתה ב-Orchard, המאגר המוגן מדור שלישי של Zcash, שתוכנן להציע ערבויות פרטיות חזקות יותר מקודמיו, Sprout ו-Sapling. פרטים מדויקים על אופי הפגם לא פורסמו, אך החוקרים תיארו אותו כקריטי – כלומר, הוא היה עלול לאפשר לתוקף לשבור את האנונימיות של עסקאות או לגנוב כספים אם היה מנוצל. צוות הפיתוח של Zcash, Electric Coin Company, קיבל הודעה לפני פרסום הממצאים, ותיקון (patch) נפרס.
תפקידה הגדל של בינה מלאכותית בבדיקות אבטחה
בעבר, ביקורות אבטחה הסתמכו על מומחים אנושיים שסורקים קוד שורה אחר שורה, ולעיתים קרובות החמיצו באגים עדינים שהחליקו גם בבדיקות הקפדניות ביותר. התגלית ב-Zcash מראה שבינה מלאכותית יכולה לעשות יותר מאשר רק להפוך סריקה לאוטומטית – היא יכולה למצוא וקטורי תקיפה בלתי צפויים שבני אדם לא היו חושבים לחפש. זה גם מבטיח וגם קצת מטריד. אם בינה מלאכותית יכולה לזהות פגמים במערכת שנועדה לאנונימיות, היא כנראה יכולה למצוא אותם כמעט בכל דבר. אותה טכנולוגיה שעוזרת לאבטח קריפטו עשויה בסופו של דבר לשמש נגדו.
למה הפיקוח עדיין חשוב
צוות המחקר שמצא את הפגם לא פשוט הניח לבינה המלאכותית לרוץ ולקוות לטוב. הם הציבו אילוצים, אימתו תוצאות ובדקו את הפלט מול פרוטוקולים ידועים. גישת 'האדם במעגל' הזו היא בדיוק מה שחסר בהתלהבות סביב כלי אבטחה אוטונומיים לחלוטין. בינה מלאכותית יכולה לסמן חריגים, אך היא עדיין לא יכולה להחליט אילו חריגים כדאי לתקן או איך לתקן אותם מבלי לשבור את שאר המערכת. המקרה של Zcash אינו סיפור על מכונות שמחליפות מבקרים – זה סיפור על מכונות שנותנות למבקרים עיניים חדות יותר.
מה הלאה עבור Zcash ומעבר
התיקון ל-Orchard נדחף למשתמשים, אך ההשלכות של תגלית זו ייקח זמן רב יותר להתברר. Electric Coin Company לא אמרה האם תאמץ בדיקות אבטחה בסיוע בינה מלאכותית כנהלים סטנדרטיים או תתייחס לממצא כאל חד-פעמי. עבור תעשיית הקריפטו הרחבה יותר, השאלה היא האם להתחיל לשלב בדיקות בינה מלאכותית בצינורות הפיתוח כבר עכשיו או להמתין עד שפרצת האבטחה הקריטית הבאה תתגלה. הרגע הזה, כפי ש-Zcash למדה זה עתה, עלול להגיע מוקדם יותר משציפו.
