Инструмент искусственного интеллекта выявил критический дефект безопасности в защищённом пуле Orchard криптовалюты Zcash, ориентированной на конфиденциальность. Открытие, сделанное неназванной публично исследовательской группой, стало одним из первых подтверждённых случаев успешного обнаружения уязвимости в производственном криптографическом коде с помощью ИИ. Оно также поднимает неудобные вопросы о том, успевают ли инструменты, призванные защищать пользователей, за машинами, которые теперь могут их взламывать.
Что нашёл ИИ
Уязвимость находилась в Orchard — третьем поколении защищённых пулов Zcash, созданном для обеспечения более строгих гарантий конфиденциальности, чем предыдущие пулы Sprout и Sapling. Подробности о точной природе дефекта не разглашаются, но исследователи описали его как критический — то есть он мог позволить злоумышленнику нарушить анонимность транзакций или вывести средства при эксплуатации. Разработчики Zcash, компания Electric Coin Company, были уведомлены до публикации выводов, и патч уже развёрнут.
Растущая роль ИИ в аудитах безопасности
Традиционно аудит безопасности полагался на экспертов-людей, построчно изучающих код, которые часто пропускают тонкие ошибки, ускользающие даже от самых тщательных проверок. Открытие в Zcash показывает, что ИИ способен не просто автоматизировать сканирование — он может находить неожиданные векторы атак, которые человек мог бы и не искать. Это одновременно и многообещающе, и тревожно. Если ИИ способен выявлять дефекты в системе, предназначенной для анонимности, вероятно, он может находить их почти в чём угодно. Та же технология, которая помогает защищать криптовалюты, в конечном счёте может быть обращена против них.
Почему контроль всё ещё важен
Исследовательская группа, обнаружившая дефект, не просто запускала ИИ в расчёте на удачу. Они задавали ограничения, проверяли результаты и сверяли выводы с известными протоколами. Именно такого подхода с участием человека не хватает в ажиотаже вокруг полностью автономных инструментов безопасности. ИИ может отмечать аномалии, но пока не способен решать, какие аномалии стоит исправлять и как это сделать, не нарушив работу остальной системы. Случай с Zcash — это не история о том, как машины заменяют аудиторов, а история о том, как машины дают аудиторам более зоркий взгляд.
Что дальше для Zcash и за его пределами
Патч для Orchard уже отправлен пользователям, но последствия этого открытия будут сказываться дольше. Компания Electric Coin Company не сообщила, будет ли она внедрять аудит с помощью ИИ как стандартную практику или рассматривать находку как единичный случай. Для более широкой индустрии криптовалют встаёт вопрос: стоит ли внедрять проверки ИИ в конвейеры разработки сейчас или ждать следующей критической уязвимости. Этот момент, как только что убедились в Zcash, может наступить раньше, чем кто-либо ожидает.
