Ett artificiellt intelligensverktyg har identifierat en kritisk säkerhetsbrist i Zcashs Orchard-skyddade pool, den integritetsfokuserade kryptovalutans senaste integritetslager. Upptäckten, gjord av ett forskningsteam som inte har namngetts offentligt, markerar ett av de första bekräftade fallen där AI framgångsrikt har hittat en sårbarhet i produktionskryptografisk kod. Den väcker också obehagliga frågor om huruvida de verktyg som är tänkta att skydda användarna håller jämna steg med de maskiner som nu kan knäcka dem.
Vad AI hittade
Sårbarheten fanns i Orchard, Zcashs tredje generationens skyddade pool, som utformats för att erbjuda starkare integritetsgarantier än sina föregångare Sprout och Sapling. Detaljer om sårbarhetens exakta natur har inte offentliggjorts, men forskarna beskrev den som kritisk – vilket innebär att den kunde ha gjort det möjligt för en angripare att bryta transaktionernas anonymitet eller tömma medel om den utnyttjades. Zcashs utvecklingsteam, Electric Coin Company, underrättades innan resultaten offentliggjordes och en patch har distribuerats.
AI:s växande roll inom säkerhetsgranskningar
Säkerhetsgranskningar har traditionellt förlitat sig på mänskliga experter som rad för rad går igenom kod, ofta missar subtila buggar som slinker igenom även den mest rigorösa granskningen. Upptäckten i Zcash visar att AI kan göra mer än att bara automatisera skanning – den kan hitta oväntade attackvektorer som människor kanske inte tänker på att leta efter. Det är både lovande och lite oroande. Om AI kan upptäcka brister i ett system utformat för anonymitet, kan den förmodligen hitta dem i nästan vad som helst. Samma teknik som hjälper till att säkra krypto kan i slutändan vändas mot det.
Varför tillsyn fortfarande spelar roll
Forskningsteamet som hittade sårbarheten lät inte bara AI:n köra på måfå och hoppas på det bästa. De satte begränsningar, validerade resultat och korskontrollerade utdata mot kända protokoll. Detta människa-i-loop-tillvägagångssätt är precis vad som saknas i hypen kring helautonoma säkerhetsverktyg. AI kan flagga avvikelser, men den kan ännu inte avgöra vilka avvikelser som är värda att åtgärda eller hur man fixar dem utan att bryta resten av systemet. Zcash-fallet är inte en historia om att maskiner ersätter granskare – det är en historia om att maskiner ger granskare skarpare ögon.
Vad som händer härnäst för Zcash och vidare
Patchen för Orchard har skickats ut till användarna, men konsekvenserna av denna upptäckt kommer att ta längre tid att lösa. Electric Coin Company har inte sagt om de kommer att införa AI-assisterade granskningar som standardpraxis eller behandla fyndet som en engångsföreteelse. För den bredare kryptovalutabranschen är frågan om man ska börja integrera AI-kontroller i utvecklingspipelines nu eller vänta tills nästa kritiska sårbarhet dyker upp. Det ögonblicket, som Zcash precis har lärt sig, kan komma snabbare än någon förväntar sig.
