一位使用Anthropic的Claude Opus 4.8的安全研究人员在短短几天内发现了Zcash的Orchard隐私池中的一个关键漏洞,暴露了一个在领先的零知识密码学家审查下存活了四年的脆弱性。
这一披露使得ZEC在周四下跌了约38%,并引发了加密行业对前沿AI模型比大多数人更能找出漏洞的广泛担忧。
“其重要性不仅仅在于AI能够发现漏洞,” SingularityNET的创始人兼首席执行官Ben Goertzel告诉Decrypt。“而在于它现在能够找到的漏洞的类型发生了变化。”
他表示,前沿模型越来越能够推理软件的行为是否符合其设计者的意图,而不仅仅是标记明显的编码错误。
在5月,由Shielded Labs聘请的安全研究员Taylor Hornby在Anthropic的Claude Opus 4.8的协助下,发现了Zcash的Orchard电路中的一个关键漏洞。这个隐藏在两行代码中的错误源于一个表面上似乎验证交易输入的检查,但实际上并没有强制执行预期的规则,可能允许攻击者在隐蔽池中创建伪造的ZEC而不被发现。Hornby构建了一个可行的攻击以验证该漏洞,然后再向开发者报告。紧急修复程序于6月1日部署。
在周四和周五,Zcash及更广泛的加密市场遭遇的恐慌中,增加的因素是这个漏洞在四年多的时间里没有被发现。
对Goertzel而言,这一发现的重要性不仅在于AI发现了一个脆弱性,还因为它指向了安全研究的一种新模型。
“我认为这是转变的一个早期标志,这种转变是难以夸大的,”他说。“安全研究的模型仍然是少数受人尊敬的人类专家进行缓慢、手工、深度的审计,但它不再是整个游戏。”
Goertzel表示,Orchard缺陷属于一种微妙的逻辑错误类别,前沿AI模型越来越能够找到这类错误,包括智能合约错误、访问控制失败,以及软件行为与其设计者意图不同的情形。随着这些能力的提高,他补充说,安全研究正在转向一种模型,其中人类专家监督持续的AI驱动审查,能够比传统审计更广泛地分析代码库。
Goertzel表示,Zcash的回应本身可能为未来提供了一个预览。
“Shielded Labs特别聘请一名研究员在恶意行为者之前猎取协议级别的缺陷,怀疑这是模板,而不是例外。” Goertzel说。“主动的、由AI增强的、以对抗为设计的审查成为了基本要求,而不采取这一措施的协议将越来越多地从攻击者那里而不是友好方获取关于其脆弱性的信息。”
根据Sahara AI的首席执行官兼南加州大学计算机科学教授Sean Ren的说法,AI的进步也正在重塑攻击者和防御者之间的平衡,因为前沿模型可以快速测试攻击策略、从结果中学习并发现弱点。
“为了建立更好的防御,我们必须利用这些前沿AI模型作为潜在的攻击者来压力测试这些系统,” Ren告诉Decrypt。
Ren表示,区块链网络特别容易受到攻击,因为其开源代码可以被前沿AI模型直接分析,这些模型可以快速测试攻击策略并比传统安全审查更快地识别漏洞。
“如果你考虑像OpenAI、Anthropic和Google DeepMind这样的前沿模型实验室,他们更早接触到最强的未发表模型,并可以在像区块链这样的公共网络系统上进行大量实验,所以他们确实手握这一力量,”他说。“如果有人怀有恶意意图并获得这些能力,他们可以进行攻击并创造漏洞。”
这个窗口可能比许多人预期的关闭得更快,网络安全公司ThreatLocker的首席执行官兼联合创始人Danny Jenkins表示,AI辅助的漏洞发现的进展速度快于许多组织能够保护他们已经依赖的软件的效率。
“我们面临一个巨大的差距,这将需要数年时间才能弥补,” Jenkins告诉Decrypt。“所有这些软件都有各种漏洞,我们很长一段时间都不会有修复或更新,而人们能够非常快速地找到这些漏洞。”
Jenkins表示,AI并没有从根本上改变漏洞研究,而是显著加速了这一过程。曾经需要安全研究人员手动审查代码和逆向工程软件的任务,如今可以在几秒钟内由现代模型完成。
“在AI出现之前,网络安全威胁和利用事件每年都在增加,”他说。“在AI出现之后,它变得更快了,我认为这变得更快有两个原因。一是你现在可以利用AI来帮助发现漏洞和利用,并且有能力做到这一点的人数大幅增加。你现在不需要再是一个脚本小子。”
尽管存在这些风险,Goertzel认为,加密行业可能比其他行业更能适应,因为其代码是开放的,社区高度关注安全。
“加密行业站在离门最近的地方,但也是能够看到门即将到来的地方,”他说。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
