Một công cụ trí tuệ nhân tạo đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong Orchard Shielded Pool của Zcash – lớp quyền riêng tư mới nhất của loại tiền điện tử tập trung vào ẩn danh này. Phát hiện này, được thực hiện bởi một nhóm nghiên cứu chưa được công khai danh tính, đánh dấu một trong những trường hợp đầu tiên được xác nhận về việc AI thành công trong việc tìm ra lỗ hổng trong mã mã hóa đang vận hành. Nó cũng đặt ra những câu hỏi khó chịu về việc liệu các công cụ bảo vệ người dùng có theo kịp những cỗ máy giờ đây có thể phá vỡ chúng hay không.
AI đã tìm thấy gì
Lỗ hổng nằm trong Orchard, pool bảo mật thế hệ thứ ba của Zcash, được thiết kế để cung cấp các đảm bảo về quyền riêng tư mạnh mẽ hơn so với các phiên bản trước là Sprout và Sapling. Chi tiết chính xác về bản chất của lỗ hổng chưa được tiết lộ, nhưng các nhà nghiên cứu mô tả nó là nghiêm trọng – nghĩa là nó có thể cho phép kẻ tấn công phá vỡ tính ẩn danh của các giao dịch hoặc rút tiền nếu bị khai thác. Đội phát triển của Zcash, Electric Coin Company, đã được thông báo trước khi các phát hiện được công khai, và một bản vá đã được triển khai.
Vai trò ngày càng tăng của AI trong kiểm toán bảo mật
Các cuộc kiểm toán bảo mật truyền thống phụ thuộc vào các chuyên gia con người rà soát từng dòng mã, thường bỏ sót những lỗi tinh vi mà ngay cả những đánh giá khắt khe nhất cũng có thể bỏ qua. Phát hiện của Zcash cho thấy AI có thể làm nhiều hơn là chỉ tự động hóa việc quét – nó có thể tìm ra các vectơ tấn công bất ngờ mà con người có thể không nghĩ đến. Điều đó vừa hứa hẹn vừa hơi đáng lo ngại. Nếu AI có thể phát hiện lỗ hổng trong một hệ thống được thiết kế cho ẩn danh, thì nó có thể tìm thấy chúng trong hầu hết mọi thứ. Công nghệ tương tự giúp bảo mật tiền điện tử cuối cùng có thể bị xoay ngược lại chống lại nó.
Tại sao sự giám sát vẫn quan trọng
Nhóm nghiên cứu phát hiện ra lỗ hổng không chỉ để AI chạy và hy vọng điều tốt nhất. Họ đặt ra các ràng buộc, xác nhận kết quả và kiểm tra chéo đầu ra so với các giao thức đã biết. Cách tiếp cận con người trong vòng lặp đó chính xác là điều còn thiếu trong sự cường điệu xung quanh các công cụ bảo mật hoàn toàn tự động. AI có thể gắn cờ các bất thường, nhưng nó chưa thể quyết định bất thường nào đáng sửa hoặc cách sửa chúng mà không làm hỏng phần còn lại của hệ thống. Trường hợp của Zcash không phải là câu chuyện về máy móc thay thế kiểm toán viên – mà là câu chuyện về máy móc mang đến cho kiểm toán viên một đôi mắt sắc bén hơn.
Điều gì tiếp theo cho Zcash và xa hơn nữa
Bản vá cho Orchard đã được đẩy đến người dùng, nhưng những tác động của phát hiện này sẽ mất nhiều thời gian hơn để giải quyết. Electric Coin Company chưa cho biết liệu họ có áp dụng kiểm toán hỗ trợ AI như một thông lệ tiêu chuẩn hay coi phát hiện này là một trường hợp đơn lẻ. Đối với ngành công nghiệp tiền điện tử rộng lớn hơn, câu hỏi đặt ra là liệu có nên đưa các kiểm tra AI vào quy trình phát triển ngay bây giờ hay chờ cho đến khi lỗ hổng nghiêm trọng tiếp theo xuất hiện. Khoảnh khắc đó, như Zcash vừa học được, có thể đến sớm hơn bất kỳ ai mong đợi.
