Et kunstig intelligens-verktøy har identifisert en kritisk sikkerhetssvakhet i Zcashs Orchard shielded pool, den personvernfokuserte kryptovalutaens nyeste personvernlag. Oppdagelsen, gjort av et forskningsteam som ikke har blitt offentlig navngitt, markerer en av de første bekreftede tilfellene der AI har funnet en sårbarhet i produksjonskryptografisk kode. Det reiser også ubehagelige spørsmål om hvorvidt verktøyene som er ment å beskytte brukere, holder tritt med maskinene som nå kan knekke dem.
Hva AI fant
Sårbarheten lå i Orchard, Zcashs tredjegenerasjons shielded pool, som var designet for å gi sterkere personverngarantier enn forgjengerne Sprout og Sapling. Detaljer om den nøyaktige arten av feilen har ikke blitt offentliggjort, men forskerne beskrev den som kritisk – noe som betyr at den kunne ha tillatt en angriper å bryte anonymiteten til transaksjoner eller tømme midler hvis den ble utnyttet. Zcashs utviklingsteam, Electric Coin Company, ble varslet før funnene ble offentliggjort, og en oppdatering har blitt distribuert.
AIs økende rolle i sikkerhetsrevisjoner
Sikkerhetsrevisjoner har tradisjonelt vært avhengig av menneskelige eksperter som går gjennom kode linje for linje, og ofte overser subtile feil som glir gjennom selv de mest grundige vurderingene. Zcash-oppdagelsen viser at AI kan gjøre mer enn bare å automatisere skanning – den kan finne uventede angrepsvektorer som mennesker kanskje ikke tenker på å se etter. Det er både lovende og litt urovekkende. Hvis AI kan oppdage feil i et system designet for anonymitet, kan den sannsynligvis finne dem i nesten alt. Den samme teknologien som hjelper til med å sikre krypto, kan til slutt bli vendt mot den.
Hvorfor tilsyn fortsatt er viktig
Forskningsteamet som fant feilen, lot ikke bare AI-en kjøre og håpe på det beste. De satte begrensninger, validerte resultater og kryssjekket resultatene mot kjente protokoller. Den menneske-i-loop-tilnærmingen er akkurat det som mangler i hypen rundt helautonome sikkerhetsverktøy. AI kan flagge uregelmessigheter, men den kan foreløpig ikke avgjøre hvilke uregelmessigheter som er verdt å fikse eller hvordan de skal fikses uten å ødelegge resten av systemet. Zcash-saken er ikke en historie om maskiner som erstatter revisorer – det er en historie om maskiner som gir revisorer et skarpere sett med øyne.
Hva skjer videre for Zcash og utover
Oppdateringen for Orchard har blitt sendt til brukerne, men implikasjonene av denne oppdagelsen vil ta lengre tid å løse. Electric Coin Company har ikke sagt om de vil ta i bruk AI-assisterte revisjoner som en standard praksis eller behandle funnet som en engangshendelse. For den bredere kryptovalutaindustrien er spørsmålet om man bør begynne å bygge inn AI-sjekker i utviklingspipelinen nå, eller vente til neste kritiske sårbarhet dukker opp. Det øyeblikket, som Zcash nettopp lærte, kan komme tidligere enn noen forventer.
