Uno strumento di intelligenza artificiale ha individuato una grave falla di sicurezza nel pool schermato Orchard di Zcash, l'ultimo strato di privacy della criptovaluta focalizzata sull'anonimato. La scoperta, realizzata da un team di ricerca non ancora reso pubblico, segna uno dei primi casi confermati in cui l'IA ha trovato con successo una vulnerabilità in codice crittografico di produzione. Solleva inoltre interrogativi scomodi sul fatto che gli strumenti pensati per proteggere gli utenti stiano tenendo il passo con le macchine che ora possono violarli.
Cosa ha trovato l'IA
La vulnerabilità risiedeva in Orchard, il pool schermato di terza generazione di Zcash, progettato per offrire garanzie di privacy più forti rispetto ai suoi predecessori, Sprout e Sapling. I dettagli sulla natura esatta della falla non sono stati divulgati, ma i ricercatori l'hanno descritta come critica, il che significa che avrebbe potuto consentire a un aggressore di rompere l'anonimato delle transazioni o di prosciugare i fondi se sfruttata. Il team di sviluppo di Zcash, Electric Coin Company, è stato informato prima che i risultati fossero resi pubblici, ed è stata distribuita una patch.
Il ruolo crescente dell'IA negli audit di sicurezza
Gli audit di sicurezza si sono tradizionalmente basati su esperti umani che esaminano il codice riga per riga, spesso perdendo bug sottili che sfuggono anche alle revisioni più rigorose. La scoperta su Zcash dimostra che l'IA può fare più che semplicemente automatizzare la scansione: può trovare vettori di attacco inaspettati che gli esseri umani potrebbero non pensare di cercare. Il che è promettente e allo stesso tempo un po' inquietante. Se l'IA può individuare falle in un sistema progettato per l'anonimato, probabilmente può trovarle in quasi qualsiasi cosa. La stessa tecnologia che aiuta a proteggere le criptovalute potrebbe un giorno essere rivolta contro di esse.
Perché la supervisione conta ancora
Il team di ricerca che ha trovato la falla non si è limitato a lasciar correre l'IA sperando nel meglio. Hanno impostato vincoli, validato i risultati e incrociato l'output con i protocolli noti. Questo approccio con l'essere umano nel ciclo è esattamente ciò che manca nell'entusiasmo attorno agli strumenti di sicurezza completamente autonomi. L'IA può segnalare anomalie, ma non può ancora decidere quali anomalie vale la pena risolvere o come risolverle senza rompere il resto del sistema. Il caso Zcash non è una storia di macchine che sostituiscono i revisori: è una storia di macchine che forniscono ai revisori un paio di occhi più acuti.
Cosa succederà dopo per Zcash e oltre
La patch per Orchard è stata distribuita agli utenti, ma le implicazioni di questa scoperta richiederanno più tempo per essere risolte. Electric Coin Company non ha dichiarato se adotterà audit assistiti dall'IA come pratica standard o tratterà la scoperta come un caso isolato. Per il più ampio settore delle criptovalute, la domanda è se iniziare a integrare controlli basati sull'IA nei processi di sviluppo ora o aspettare fino alla prossima vulnerabilità critica. Quel momento, come Zcash ha appena imparato, potrebbe arrivare prima del previsto.
