人工知能ツールが、プライバシー重視の暗号通貨Zcashの最新プライバシーレイヤーであるOrchard Shielded Poolに重大なセキュリティ欠陥を特定しました。公には名前が明かされていない研究チームによるこの発見は、AIが本番環境の暗号コードで脆弱性を正常に発見した最初の確認された事例の一つです。また、ユーザーを保護するためのツールが、今やそれらを突破できる機械に追いついているのかという厄介な疑問も提起しています。
AIが発見したもの
脆弱性は、Zcashの第3世代シールドプールであるOrchardに存在していました。これは、以前のSproutやSaplingよりも強力なプライバシー保証を提供するように設計されていました。欠陥の正確な性質に関する詳細は公開されていませんが、研究者らはこれを重大(クリティカル)と説明しました。つまり、悪用されれば攻撃者が取引の匿名性を破ったり、資金を流出させたりする可能性があったことを意味します。Zcashの開発チームであるElectric Coin Companyは、発見が公表される前に通知され、パッチが展開されました。
セキュリティ監査におけるAIの役割の拡大
セキュリティ監査は従来、人間の専門家がコードを一行ずつ精査することに依存しており、最も厳格なレビューでも見逃される微妙なバグがしばしば存在しました。Zcashの発見は、AIが単にスキャンを自動化するだけでなく、人間が思いもよらない攻撃ベクトルを見つけられることを示しています。これは有望であると同時に、少し不安でもあります。AIが匿名性のために設計されたシステムの欠陥を見つけられるなら、おそらくほぼすべてのものに欠陥を見つけられるでしょう。暗号を保護するのに役立つ同じ技術が、最終的には暗号に対して使われる可能性があります。
人間の監視が依然として重要な理由
欠陥を発見した研究チームは、AIをただ実行して良い結果を期待したわけではありません。彼らは制約を設定し、結果を検証し、出力を既知のプロトコルと照合しました。この人間が介在するアプローチこそ、完全に自律的なセキュリティツールに対する誇大広告に欠けているものです。AIは異常を指摘できますが、どの異常を修正すべきか、またはシステムの他の部分を壊さずに修正する方法をまだ判断できません。Zcashのケースは、機械が監査人に取って代わる話ではなく、機械が監査人により鋭い目を与える話なのです。
Zcashとその先に待ち受けるもの
Orchardのパッチはユーザーに提供されましたが、この発見の影響を解決するにはさらに時間がかかります。Electric Coin Companyは、AI支援による監査を標準的な慣行として採用するか、今回の発見を一回限りのものとして扱うかについてまだ発表していません。暗号通貨業界全体にとっての問題は、AIチェックを開発パイプラインに今組み込むべきか、それとも次の重大な脆弱性が表面化するまで待つべきかです。Zcashが学んだように、その瞬間は誰もが予想するよりも早く訪れるかもしれません。
