Egy mesterségesintelligencia-eszköz kritikus biztonsági hibát azonosított a Zcash Orchard shielded pool-jában, a privátszférára összpontosító kriptovaluta legújabb adatvédelmi rétegében. A felfedezést egy nyilvánosan meg nem nevezett kutatócsoport tette, és ez az egyik első igazolt eset, amikor az AI sikeresen talált sebezhetőséget éles kriptográfiai kódban. Ez kellemetlen kérdéseket vet fel arról, hogy a felhasználók védelmére szolgáló eszközök lépést tudnak-e tartani azokkal a gépekkel, amelyek most már képesek feltörni azokat.
Mit talált az AI
A sebezhetőség az Orchardban, a Zcash harmadik generációs shielded pool-jában rejlett, amelyet az elődöknél (Sprout, Sapling) erősebb adatvédelmi garanciák nyújtására terveztek. A hiba pontos természetéről nem hoztak nyilvánosságra részleteket, de a kutatók kritikusnak minősítették – ami azt jelenti, hogy ha kihasználják, lehetővé tehette volna a támadó számára a tranzakciók anonimitásának megtörését vagy pénzeszközök kiszivattyúzását. A Zcash fejlesztőcsapatát, az Electric Coin Company-t a megállapítások nyilvánosságra hozatala előtt értesítették, és egy javítást (patch) is telepítettek.
Az AI növekvő szerepe a biztonsági auditokban
A biztonsági auditok hagyományosan emberi szakértőkre támaszkodtak, akik sorról sorra vizsgálták a kódot, gyakran figyelmen kívül hagyva olyan finom hibákat, amelyek a legaprólékosabb átvizsgálásokon is átsiklanak. A Zcash felfedezés azt mutatja, hogy az AI többet tud tenni, mint pusztán automatizált szkennelés – váratlan támadási vektorokat találhat, amelyeket az emberek eszükbe sem vennének keresni. Ez egyszerre ígéretes és kissé nyugtalanító. Ha az AI képes hibákat felfedezni egy anonimitásra tervezett rendszerben, akkor valószínűleg szinte bármiben megtalálja azokat. Ugyanaz a technológia, amely segít a kriptovaluták védelmében, végül akár ellenük is fordulhat.
Miért számít még mindig a felügyelet
A hibát felfedező kutatócsoport nem hagyta, hogy az AI csak úgy fusson, és bízzanak a legjobbakban. Korlátokat állítottak fel, érvényesítették az eredményeket, és keresztellenőrizték a kimenetet az ismert protokollokkal szemben. Ez az „ember a hurokban” megközelítés pontosan az, ami hiányzik a teljesen autonóm biztonsági eszközök körüli felhajtásból. Az AI jelezhet anomáliákat, de még nem tudja eldönteni, hogy mely anomáliákat érdemes javítani, vagy hogyan lehet azokat javítani anélkül, hogy a rendszer többi része összeomlana. A Zcash esete nem a gépek általi auditorok leváltásának története – hanem arról szól, hogy a gépek élesebb szemmel látják el az auditorokat.
Mi várható ezután a Zcash és mások számára
Az Orchard javítása eljutott a felhasználókhoz, de a felfedezés következményeinek feloldása tovább tart. Az Electric Coin Company nem nyilatkozott arról, hogy az AI-asszisztált auditokat szabványos gyakorlattá teszi-e, vagy egyszeri esetként kezeli a megállapítást. A tágabb kriptovaluta-ipar számára a kérdés az, hogy most kezdjék-e beleépíteni az AI-ellenőrzéseket a fejlesztési folyamatokba, vagy várjanak, amíg a következő kritikus sebezhetőség felbukkan. Az a pillanat, ahogy a Zcash most megtudta, hamarabb eljöhet, mint bárki gondolná.
