一款人工智能工具已识别出Zcash Orchard屏蔽池(该注重隐私的加密货币最新隐私层)中的关键安全漏洞。这一发现由一个未公开命名的研究团队完成,标志着AI成功发现生产环境中加密代码漏洞的首批确认案例之一。它也引发了令人不安的质疑:那些本该保护用户的工具,是否跟得上如今能够破解它们的机器?
AI发现了什么
该漏洞存在于Zcash第三代屏蔽池Orchard中,该池设计初衷是比前代Sprout和Sapling提供更强的隐私保障。关于漏洞具体性质的细节尚未公布,但研究人员将其描述为“关键”——意味着若被利用,攻击者可破坏交易的匿名性或盗取资金。Zcash的开发团队Electric Coin Company在结果公开前已获通知,并已部署了补丁。
AI在安全审计中日益增长的作用
传统安全审计依赖人类专家逐行检查代码,即使最严格的审查也常遗漏细微缺陷。Zcash的发现表明,AI不仅能自动扫描,还能发现人类可能想不到的攻击向量。这既令人振奋,又有些不安。如果AI能发现为匿名性设计的系统中的漏洞,那它几乎可以找出任何东西中的漏洞。同样是这项技术,既能助力加密安全,最终也可能被用来攻击它。
为何人为监督仍至关重要
发现漏洞的研究团队并非让AI随意运行并寄望于最佳结果。他们设定了约束条件,验证了结果,并将输出与已知协议进行了交叉核对。这种“人在回路中”的方法正是围绕完全自主安全工具的炒作中所缺失的。AI可以标记异常,但尚不能判断哪些异常值得修复,以及如何在修复时不破坏系统其余部分。Zcash案例并非机器取代审计员的故事——而是机器赋予审计员更锐利双眼的故事。
Zcash的未来及更广泛的启示
Orchard的补丁已推送给用户,但这一发现的深远影响还需更长时间来解决。Electric Coin Company尚未表示是否会将AI辅助审计作为标准做法,还是仅视之为一次性事件。对更广泛的加密货币行业而言,问题在于现在就将AI检查纳入开发流程,还是等到下一个关键漏洞浮出水面再行动。正如Zcash刚学到的教训,那一刻可能来得比任何人预期的都要快。
