یک محقق امنیتی با استفاده از کلود اوپوس 4.8 آنتروپیک، در عرض چند روز یک نقص حیاتی را در استخر حریم خصوصی اورچارد Zcash کشف کرد، که آسیب‌پذیری‌ای را آشکار ساخت که چهار سال از بررسی توسط رمزنگاران پیشرو با دانش صفر (zero-knowledge cryptographers) جان سالم به در برده بود.

این افشاگری باعث شد که ZEC در روز پنجشنبه حدود 38 درصد سقوط کند و نگرانی گسترده‌تری را برای صنعت کریپتو در مورد مدل‌های هوش مصنوعی پیشرو ایجاد کند که در یافتن آسیب‌پذیری‌ها نسبت به اکثر انسان‌ها به طور فزاینده‌ای ماهرتر می‌شوند.

بن گورتزل، بنیانگذار و مدیر عامل SingularityNET به Decrypt گفت: "اهمیت واقعی این نیست که هوش مصنوعی می‌تواند باگ پیدا کند." "بلکه این است که نوع باگ‌هایی که اکنون می‌تواند پیدا کند، تغییر کرده است."

او گفت که مدل‌های پیشرو، به جای صرفاً علامت‌گذاری اشتباهات آشکار کدنویسی، به طور فزاینده‌ای قادر به استدلال در مورد اینکه آیا نرم‌افزار آنگونه که طراحانش در نظر گرفته‌اند رفتار می‌کند یا خیر، هستند.

در ماه مه، تیلور هورنبی، محقق امنیتی استخدام شده توسط Shielded Labs، با کمک کلود اوپوس 4.8 Anthropic، یک نقص حیاتی را در مدار اورچارد Zcash کشف کرد. این باگ که در دو خط کد پنهان شده بود، از یک بررسی نشأت می‌گرفت که به نظر می‌رسید ورودی‌های تراکنش را تأیید می‌کند اما در واقع قوانین مورد نظر را اعمال نمی‌کرد و به طور بالقوه به یک مهاجم اجازه می‌داد تا ZEC جعلی را در استخر محافظت‌شده بدون شناسایی ایجاد کند. هورنبی یک اکسپلویت عملیاتی برای تأیید آسیب‌پذیری ساخت و سپس آن را به توسعه‌دهندگان گزارش داد. یک رفع اضطراری در 1 ژوئن اجرا شد.

علاوه بر هراسی که در روزهای پنجشنبه و جمعه گریبان Zcash و بازار گسترده‌تر کریپتو را گرفت، این واقعیت وجود دارد که این نقص برای بیش از چهار سال کشف نشده باقی مانده بود.

برای گورتزل، این کشف نه تنها به دلیل یافتن آسیب‌پذیری توسط هوش مصنوعی، بلکه به دلیل اینکه به مدلی جدید برای تحقیقات امنیتی اشاره دارد، قابل توجه است.

او گفت: "من فکر می‌کنم این یک نشانه اولیه از تغییری است که اغراق در آن دشوار خواهد بود." "مدل تحقیقات امنیتی به عنوان تعداد انگشت‌شماری از متخصصان انسانی برجسته که ممیزی‌های کند، دست‌ساز و با تخصص عمیق انجام می‌دهند، از بین نمی‌رود، اما دیگر تمام ماجرا نخواهد بود."

گورتزل گفت که نقص اورچارد به دسته‌ای از باگ‌های منطقی ظریف تعلق دارد که مدل‌های هوش مصنوعی پیشرو به طور فزاینده‌ای قادر به یافتن آنها هستند، از جمله خطاهای قرارداد هوشمند، نقص‌های کنترل دسترسی، و موقعیت‌هایی که نرم‌افزار متفاوت از آنچه طراحانش در نظر گرفته‌اند رفتار می‌کند. او افزود، با بهبود این قابلیت‌ها، تحقیقات امنیتی به سمت مدلی در حال تغییر است که در آن متخصصان انسانی بر بررسی مداوم مبتنی بر هوش مصنوعی نظارت می‌کنند که می‌تواند پایگاه‌های کد را بسیار گسترده‌تر از ممیزی‌های سنتی تجزیه و تحلیل کند.

گورتزل گفت که واکنش Zcash خود ممکن است پیش‌نمایشی از آن آینده ارائه دهد.

گورتزل گفت: "استخدام یک محقق توسط Shielded Labs به طور خاص برای یافتن نقص‌های سطح پروتکل با یک مدل پیشرو قبل از اینکه یک عامل مخرب بتواند این کار را انجام دهد، به گمانم الگو است، نه استثنا." "بررسی پیشگیرانه، تقویت‌شده با هوش مصنوعی و طراحی‌شده برای مقابله (adversarial-by-design) به یک ضرورت تبدیل می‌شود، و پروتکل‌هایی که آن را اتخاذ نکنند، به طور فزاینده‌ای آسیب‌پذیری‌های خود را از مهاجم خواهند آموخت، نه از یک دوست."

به گفته شان رن، مدیر عامل Sahara AI و استاد علوم کامپیوتر در دانشگاه کالیفرنیای جنوبی، پیشرفت‌های هوش مصنوعی همچنین تعادل بین مهاجمان و مدافعان را تغییر می‌دهد، زیرا مدل‌های پیشرو می‌توانند به سرعت استراتژی‌های حمله را آزمایش کنند، از نتایج بیاموزند و نقاط ضعف را کشف کنند.

رن به Decrypt گفت: "برای ایجاد دفاع بهتر، ما باید از این مدل‌های هوش مصنوعی پیشرو به عنوان مهاجمان بالقوه برای آزمایش دقیق این سیستم‌ها استفاده کنیم."

رن گفت که شبکه‌های بلاک‌چین به ویژه در معرض خطر هستند زیرا کد منبع باز آنها می‌تواند مستقیماً توسط مدل‌های هوش مصنوعی پیشرو تجزیه و تحلیل شود، که می‌توانند به سرعت استراتژی‌های حمله را آزمایش کرده و آسیب‌پذیری‌ها را سریع‌تر از بررسی‌های امنیتی سنتی شناسایی کنند.

او گفت: "اگر به آزمایشگاه‌های مدل پیشرو مانند OpenAI، Anthropic و Google DeepMind فکر کنید، آنها دسترسی زودتری به قوی‌ترین مدل‌های منتشرنشده دارند و می‌توانند آزمایش‌های زیادی را روی سیستم‌های شبکه عمومی مانند بلاک‌چین‌ها انجام دهند، بنابراین قدرت در دست آنهاست." "اگر کسی با نیت مخرب به آن قابلیت‌ها دسترسی داشت، می‌توانست حملات انجام دهد و آسیب‌پذیری ایجاد کند."

این پنجره ممکن است سریع‌تر از آنچه بسیاری انتظار دارند بسته شود، و به گفته دنی جنکینز، مدیر عامل و یکی از بنیانگذاران شرکت امنیت سایبری ThreatLocker، کشف آسیب‌پذیری با کمک هوش مصنوعی سریع‌تر از آن چیزی که بسیاری از سازمان‌ها می‌توانند نرم‌افزارهایی را که از قبل به آن‌ها متکی هستند ایمن کنند، در حال بهبود است.

جنکینز به Decrypt گفت: "ما یک شکاف بزرگ داریم که سال‌ها و سال‌ها طول می‌کشد تا از آن عبور کنیم." "همه این نرم‌افزارها همه این آسیب‌پذیری‌ها را خواهند داشت، ما برای مدت طولانی هیچ اصلاح یا به‌روزرسانی برای آنها نخواهیم داشت، و مردم می‌توانند این آسیب‌پذیری‌ها را خیلی سریع پیدا کنند."

جنکینز گفت هوش مصنوعی تحقیقات آسیب‌پذیری را اساساً تغییر نمی‌دهد، بلکه آن را به طرز چشمگیری تسریع می‌کند. کارهایی که زمانی محققان امنیتی را ملزم به بررسی کد و مهندسی معکوس دستی نرم‌افزار می‌کرد، اکنون می‌توانند در عرض چند ثانیه توسط مدل‌های مدرن انجام شوند.

او گفت: "قبل از هوش مصنوعی، تهدیدات و سوءاستفاده‌های امنیت سایبری هر ساله در حال افزایش بودند. پس از هوش مصنوعی، این روند حتی سریع‌تر شده است، و من فکر می‌کنم این به دو دلیل سریع‌تر شده است. یکی اینکه اکنون می‌توانید از هوش مصنوعی برای کمک به یافتن آسیب‌پذیری‌ها و سوءاستفاده‌ها استفاده کنید، و تعداد افرادی که توانایی انجام این کار را دارند به طور چشمگیری افزایش یافته است. اکنون لازم نیست یک اسکریپت‌کیدی (script kiddie) باشید."

با وجود این خطرات، گورتزل استدلال کرد که کریپتو ممکن است بهتر از سایر صنایع برای سازگاری آماده باشد زیرا کد آن باز است و جوامع آن بسیار امنیت‌محور هستند.

او گفت: "کریپتو نزدیک‌ترین جایگاه را به در دارد، اما همچنین بخشی از اتاق است که می‌تواند در را در حال آمدن ببیند."