Khi các công cụ bảo mật được hỗ trợ bởi AI trở nên rẻ hơn, nhanh hơn và phổ biến rộng rãi hơn, các nhà nghiên cứu cho biết họ có thể định hình lại những gì ngành công nghiệp tiền điện tử coi là sự thẩm định hợp lý trước khi triển khai mã, có khả năng thay đổi kỳ vọng của các nhà phát triển và tổ chức.
- Việc ra mắt các công cụ bảo mật được hỗ trợ bởi AI như Mythos có thể giảm đáng kể chi phí kiểm tra hợp đồng thông minh và cho phép đánh giá mã liên tục, có khả năng thay đổi những gì ngành công nghiệp tiền điện tử coi là thẩm định bảo mật hợp lý.
- Mặc dù AI có thể giúp phát hiện các lỗi mã hóa nhanh hơn và rẻ hơn, một số nhà nghiên cứu cho biết nó không thể thay thế khả năng phán đoán của con người hoặc ngăn chặn nhiều tổn thất lớn nhất của tiền điện tử, thường xuất phát từ kỹ thuật xã hội, thông tin xác thực bị xâm phạm và lỗi vận hành thay vì lỗi hợp đồng thông minh.
Việc phát hành Mythos, một hệ thống AI được thiết kế để tự động phát hiện lỗ hổng trong mãcó thể làm được nhiều việc hơn là giúp các nhà phát triển blockchain tìm ra lỗi.
Khi các công cụ bảo mật được hỗ trợ bởi AI trở nên rẻ hơn, nhanh hơn và phổ biến rộng rãi hơn, các nhà nghiên cứu cho biết họ có thể định hình lại những gì ngành công nghiệp tiền điện tử coi là sự thẩm định hợp lý trước khi triển khai mã, có khả năng thay đổi kỳ vọng của các nhà phát triển và tổ chức.
Trong nhiều năm, bảo mật hợp đồng thông minh đã bị hạn chế bởi ngân sách. Kiểm toán toàn diện thường tốn kém, khiến các hệ thống AI như Mythos, được phát hành ngắn gọn vào đầu tháng này trước khi nó bị loại khỏi thị trường Mỹrẻ hơn đáng kể.
Alexander Urbelis, giám đốc an ninh thông tin tại ENS Labs cho biết: “Nó đẩy giá của một cuộc kiểm toán cơ bản về 0”. Công việc trước đây cần nhiều tuần và chi phí đáng kể cuối cùng có thể được hoàn thành trong vài phút, cho phép các dự án trước đây không đủ khả năng đánh giá chuyên môn có được đánh giá bảo mật nhanh chóng.
Trong nhiều năm, các nhà nghiên cứu đã dựa vào các công cụ tự động được gọi là bộ làm mờ để tìm kiếm các lỗi phần mềm bằng cách tấn công dồn dập vào các chương trình bằng đầu vào và quan sát xem lỗi nào xảy ra. Hệ thống AI có một cách tiếp cận khác.
Urbelis nói: “Đó là một sự thay đổi về mức độ có thể gây ra sự thay đổi về bản chất”. “Máy móc đã săn lùng bọ trong nhiều năm. Nhưng bây giờ chúng ta đang nói về một bộ điều khiển mờ có khả năng suy luận.”
Thay vì chỉ đơn giản xác định các lỗi kỹ thuật, các hệ thống như Mythos có thể suy ra mã được dùng để làm gì và so sánh mã đó với những gì nó thực sự làm. Trong tiền điện tử, nơi mã hợp đồng thông minh được công khai và tiền thưởng phát hiện lỗi có thể có ngân sách lớn, khả năng đó có thể mở rộng đáng kể khả năng xác định lỗ hổng của ngành trước khi ra mắt.
David Schwed, COO của công ty bảo mật blockchain SVRN và người sáng lập chương trình thạc sĩ an ninh mạng tại Đại học Yeshiva, đã mô tả sự thay đổi này thậm chí còn quan trọng hơn.
Schwed nói: “Những mô hình này hiện hoạt động theo cách mà kẻ tấn công con người thực hiện”. “Họ lặp đi lặp lại, thực hiện bước tiếp theo dựa trên những gì họ thấy trong thời gian thực. Công cụ cũ hơn chỉ là các quy trình xác định phức tạp.”
Nhưng Schwed lập luận rằng sự thay đổi lớn hơn có thể không phải là việc phát hiện ra lỗ hổng bảo mật. Nó có thể là sự xuất hiện của giám sát an ninh liên tục.
Ông nói: “Sự thay đổi thực sự là việc kiểm tra liên tục với các biện pháp khắc phục được đề xuất với chi phí thấp, thay vì xem xét theo thời điểm mà bạn chỉ có thể thực hiện được một lần”.
Nếu việc đánh giá bảo mật trở nên ít tốn kém và liên tục, các nhà nghiên cứu cho biết kỳ vọng của ngành có thể thay đổi cùng với chúng.
Urbelis cho biết ông tin rằng AI cuối cùng có thể định hình lại tiêu chuẩn chăm sóc xung quanh việc phát triển hợp đồng thông minh. Trong lịch sử, các nhóm có thể chỉ ra chi phí và sự phức tạp của các cuộc kiểm toán là lý do khiến một số đánh giá nhất định không được thực hiện. Lập luận đó trở nên khó khăn hơn khi phân tích bảo mật phức tạp được cung cấp theo yêu cầu.
Ông nói: “Một báo cáo AI sạch sẽ được coi là không có biện pháp bảo vệ. “Nguyên đơn có thể tranh luận theo cách khác: công cụ này tồn tại, nó rẻ và lẽ ra bạn phải nắm bắt được nó.”
Triển vọng đặt ra những câu hỏi rộng hơn cho ngành: nếu các đánh giá bảo mật do AI cung cấp trở nên phổ biến, liệu các nhà đầu tư có mong đợi chúng trước khi tài trợ cho các dự án hay không và liệu việc không thực hiện kiểm toán có sự hỗ trợ của AI cuối cùng có bị coi là sơ suất không?
Bất chấp lời hứa của công nghệ, cả hai nhà nghiên cứu đều không tin rằng AI đã sẵn sàng thay thế các kiểm toán viên của con người.
Trong khi máy móc xuất sắc trong việc xác định các lỗi mã hóa, Urbelis cho biết chúng vẫn yếu hơn trong việc phát hiện các lỗ hổng kinh tế và dựa trên động cơ đã góp phần gây ra một số tổn thất lớn nhất cho tiền điện tử. Ông nói: “Những lỗi làm cạn kiệt kho bạc thường là do mục đích và động cơ thù địch. “Những người đó vẫn cần một người có kinh nghiệm trong phòng.”
Schwed đưa ra cảnh báo tương tự. “’Claude, hãy kiểm tra hợp đồng thông minh của tôi, đừng mắc lỗi’ không phải là một chương trình bảo mật,” anh nói. “Nếu người chạy công cụ này không thể đánh giá kết quả trả về thì bạn chưa mua được sự bảo mật mà bạn đã mua nhầm cảm giác về nó.”
Nhưng liệu một hệ thống như Mythos có thể ngăn chặn các vụ hack lớn hay không, cả hai nhà nghiên cứu đều lưu ý rằng nhiều sự cố tốn kém nhất của tiền điện tử không bắt nguồn từ các lỗ hổng hợp đồng thông minh. Urbelis chỉ ra sự thỏa hiệp gần đây của Drift, mà ông mô tả là đỉnh điểm của chiến dịch kỹ thuật xã hội kéo dài nhiều tháng nhắm mục tiêu vào những người đóng góp đáng tin cậy hơn là mã của giao thức. “Hợp đồng thông minh đã thực hiện chính xác những gì nó được bảo,” ông nói. “Quyền lực đằng sau chỉ dẫn là những gì đã bị xâm phạm và lạm dụng.”
Tương tự, Schwed trích dẫn các sự cố như Ronin và Bybittrong đó các khóa bị xâm phạm và các quy trình ký bị thao túng, thay vì các lỗ hổng phần mềm, đóng vai trò trung tâm.
Ông nói: “Không có máy quét mã nào ngăn người ký được ủy quyền phê duyệt một giao dịch mà họ không thể xác minh”.
Thực tế đó cho thấy AI sẽ không loại bỏ được các thách thức bảo mật của tiền điện tử. Nhưng các nhà nghiên cứu cho rằng về cơ bản nó có thể thay đổi một phần của phương trình: chi phí tìm ra lỗi và những kỳ vọng xung quanh việc phát hiện ra chúng.
