一位安全研究人员使用 Anthropic 的 Claude Opus 4.8 在几天内发现了 Zcash Orchard 隐私池中的一个严重缺陷,暴露了一个经过领先的零知识密码学家四年审查后仍然存在的漏洞。
这一披露导致 ZEC 周四暴跌约 38%,并引起了人们对加密货币行业的更广泛担忧,因为前沿人工智能模型比大多数人更擅长发现漏洞。
“真正的意义并不在于人工智能能够发现错误,”SingularityNET 的创始人兼首席执行官 Ben Goertzel 告诉 Decrypt。“而是它现在可以找到的错误类型已经发生了变化。”
他说,前沿模型不再简单地标记明显的编码错误,而是越来越能够推理软件是否按照设计者的预期运行。
5 月份,Shielded Labs 聘请的安全研究员 Taylor Hornby 在 Anthropic 的 Claude Opus 4.8 的帮助下发现了 Zcash Orchard 电路中的一个严重缺陷。该错误隐藏在两行代码中,源于一项看似验证交易输入但实际上并未执行预期规则的检查,可能允许攻击者在屏蔽池内创建伪造的 ZEC 而不会被发现。 Hornby 构建了一个有效的漏洞来验证该漏洞,然后再将其报告给开发人员。 6 月 1 日部署了紧急修复。
除了周四和周五袭击 Zcash 和更广泛的加密市场的恐慌之外,事实是该缺陷四年多来一直未被发现。
对于 Goertzel 来说,这一发现意义重大,不仅因为 AI 发现了漏洞,还因为它指出了安全研究的新模型。
“我认为这是一个转变的早期标志,这一转变很难被夸大,”他说。 “由少数受人尊敬的人类专家进行缓慢、手工、深入的专家审核的安全研究模式不会消失,但它不再是整个游戏。”
Goertzel 说,Zcash 的回应本身可以提供对未来的预览。
“我怀疑,Shielded Labs 专门聘请了一名研究人员,利用前沿模型在恶意行为者之前发现协议级缺陷,这就是模板,而不是例外,”Goertzel 说。 “主动的、人工智能增强的、设计上的对抗性审查成为赌注,不采用这种审查的协议将越来越多地从攻击者而不是友好的人那里了解其漏洞。”
Sahara AI 首席执行官、南加州大学计算机科学教授 Sean Ren 表示,人工智能的进步也正在重塑攻击者和防御者之间的平衡,因为前沿模型可以快速测试攻击策略、从结果中学习并发现弱点。
“为了建立更好的防御,我们必须使用这些前沿人工智能模型作为潜在的攻击者,对这些系统进行压力测试,”任告诉Decrypt。
任正非表示,区块链网络尤其暴露,因为其开源代码可以直接由前沿人工智能模型进行分析,与传统安全审查相比,可以快速测试攻击策略并识别漏洞。
“如果您考虑一下像 OpenAI、Anthropic 和 Google DeepMind 这样的前沿模型实验室,他们可以更早地访问最强大的未发布模型,并且可以进行大量研究在区块链等公共网络系统上进行实验,因此他们确实拥有手头的力量,”他说。 “如果怀有恶意的人能够访问这些功能,他们就可以进行攻击并制造漏洞。”
这个窗口关闭的速度可能比许多人预期的要快,根据网络安全公司 ThreatLocker 的首席执行官兼联合创始人 Danny Jenkins 的说法,人工智能辅助漏洞发现的改进速度比许多组织保护他们已经依赖的软件的速度要快。
“我们面临着巨大的差距,需要很多年才能克服,”詹金斯告诉 Decrypt。 “所有这些软件都将存在所有这些漏洞,我们在很长一段时间内不会对其进行修复或更新,人们将能够很快找到这些漏洞。”
詹金斯表示,人工智能并没有从根本上改变漏洞研究,而是极大地加速了它的发展。曾经需要安全研究人员手动审查代码和逆向工程软件的任务现在可以通过现代模型在几秒钟内完成。
“在人工智能出现之前,网络安全威胁和漏洞每年都在增加,”他说。 “后人工智能时代,它变得更快,我认为它变得更快有两个原因。一是你现在可以使用人工智能来帮助发现漏洞和漏洞利用,并且有能力做到这一点的人数已经大幅增长。您现在不必成为脚本小子。”
尽管存在这些风险,Goertzel 认为加密货币也可能比其他行业更好地适应,因为它的代码是开放的,而且它的社区高度关注安全。
“Crypto 站在最靠近门的位置,但它也是房间中可以看到门即将到来的部分,”他说。