Modelul Mythos de la Anthropic expune fisurile ascunse din fundația cripto
Liderii DeFi spun că AI va înarma atât atacatorii, cât și apărătorii, și va lărgi decalajul dintre proiectele care prioritizează securitatea și cele care nu.
Mythos, noul model AI de la Anthropic care a stârnit teamă și confuzie în tehnologia și finanțele tradiționale, conduce, de asemenea, o schimbare masivă în modul în care industria cripto gândește despre securitate.
De ani de zile, finanțele descentralizate și-au concentrat apărările pe contractele inteligente. Codul este auditat, vulnerabilitățile sunt catalogate, iar multe exploatări comune sunt bine înțelese. Dar Mythos, un model conceput pentru a identifica și a înlănțui punctele slabe din sisteme, împinge atenția dincolo de cod și în infrastructura care îl susține.
„Riscurile mai mari se află în infrastructură”, a declarat Paul Vijender, șeful de securitate de la Gauntlet, o firmă de gestionare a riscurilor. „Când mă gândesc la amenințările generate de AI, sunt mai puțin preocupat de exploatările contractelor inteligente și mai concentrat pe atacurile asistate de AI împotriva straturilor umane și de infrastructură.”
Aceasta include sistemele de gestionare a cheilor, serviciile de semnare, punțile, rețelele oracle și straturile criptografice care le conectează. Aceste componente sunt mai puțin vizibile decât contractele inteligente și se află adesea în afara domeniului de aplicare al auditului tradițional.
De fapt, luna aceasta, furnizorul de infrastructură web Vercel, pe care multe companii cripto îl folosesc, a dezvăluit o încălcare a securității care ar fi putut expune cheile API ale clienților, determinând proiectele cripto să rotească credențialele și să își revizuiască codul. Vercel a urmărit intruziunea până la o conexiune Google Workspace compromisă prin instrumentul AI terță parte Context.ai, pe care un angajat l-a folosit.
Mythos aparține unei noi clase de sisteme AI construite pentru a simula adversari. În loc să scaneze pentru bug-uri cunoscute, explorează modul în care protocoalele interacționează, testând modul în care punctele slabe mici pot fi combinate în exploatări din lumea reală.
Această abordare a atras atenția dincolo de cripto. Bănci precum JP Morgan tratează din ce în ce mai mult riscul cibernetic bazat pe AI ca fiind sistemic și explorează instrumente precum Mythos pentru testarea la stres. La începutul acestei luni, Coinbase și Binance s-ar fi apropiat de Anthropic pentru a testa Mythos.
Constatările preliminare de la modele precum Mythos au identificat puncte slabe în sistemele din culise care mențin securitatea platformelor cripto, inclusiv tehnologia care protejează cheile și gestionează comunicarea între sisteme.
„Cred că există două domenii în care modelele AI sunt deosebit de valoroase”, a spus Vijender. „În primul rând, lanțurile de exploatare cu mai mulți pași, care în mod istoric sunt descoperite abia după ce s-au pierdut bani. În al doilea rând, vulnerabilitățile stratului de infrastructură pe care auditurile tradiționale nu le ating niciodată.”
Această schimbare contează într-un sistem construit pe componibilitate, în care protocoalele DeFi se pot conecta și construi pe serviciile celuilalt. Protocoalele DeFi sunt concepute pentru a se interconecta. Acestea împărtășesc lichiditatea, se bazează pe oracole comune și interacționează prin straturi de integrări care sunt dificil de mapat în întregime.
Această interconectare a stimulat creșterea, dar creează și căi pentru răspândirea riscului, așa cum s-a văzut în recentele exploatări de bridge, cum ar fi atacul Hyperbridge, în care un atacator a bătut jetoane Polkadot punte în valoare de 1 miliard de dolari pe Ethereum, exploatând o eroare în modul în care au fost verificate mesajele cross-chain.
„Componibilitatea este ceea ce face capitalul DeFi eficient și inovator”, a spus Vijender. „Dar înseamnă și că o vulnerabilitate minoră într-un protocol poate deveni un vector de exploatare critic cu potențial de contagiune în întregul ecosistem.”
Fără AI, aceste dependențe sunt greu de urmărit. Cu AI, ele pot fi mapate și exploatate la scară. Rezultatul este o trecere de la exploatări izolate la eșecuri sistemice care se propagă în cascadă între protocoale.
Evoluția atacurilor AI
Totuși, unii lideri din industrie văd Mythos ca pe o accelerare, mai degrabă decât ca pe un punct de cotitură. La Aave Labs, fondatorul Stani Kulechov a spus că AI reflectă dinamica deja în joc în mediul advers al DeFi.
„Web3 nu este străin de adversari bine finanțați și motivați”, a spus el pentru CoinDesk. „Modelele AI reprezintă o evoluție în instrumentele folosite pentru a realiza exploatări.”
Din această perspectivă, DeFi este deja construit pentru atacuri cu viteză mașină. Contractele inteligente se execută automat, iar apărări precum mecanismele de lichidare și parametrii de risc funcționează fără intervenție umană.
„DeFi funcționează la viteza de calcul, așa că AI nu introduce o nouă dinamică”, a spus Kulechov. „Intensifică un mediu care a necesitat întotdeauna o vigilență constantă.”
Chiar și așa, Aave vede AI scoțând la suprafață noi categorii de vulnerabilități, inclusiv probleme pe care auditorii umani le-ar fi putut deprioriza anterior. „Lucrarea Mythos arată că AI poate descoperi bug-uri vechi care au fost depriorizate anterior”, a spus el.
Această amploare contează în continuare într-un sistem în care chiar și vulnerabilități mai mici pot submina încrederea sau pot fi combinate în exploatări mai mari. Dacă atacatorii se pot mișca mai repede, întrebarea devine dacă apărările pot ține pasul.
Atât pentru Gauntlet, cât și pentru Aave, răspunsul constă în schimbarea modelului de securitate în sine. Auditurile înainte de implementare și monitorizarea după au fost concepute pentru amenințări cu ritm uman. AI comprimă această cronologie.
„Pentru a ne apăra împotriva AI ofensivă, va trebui să adoptăm o abordare centrată pe AI, unde viteza și adaptarea continuă sunt esențiale”, a spus Vijender de la Gauntlet. Aceasta include auditul continuu, simularea în timp real și sistemele construite cu ipoteza că se vor întâmpla încălcări.
Un 'mod mai bun'
Aave a integrat deja AI în fluxurile sale de lucru, folosindu-l pentru simulări și revizuirea codului alături de auditori umani. „Adoptăm o abordare AI-first acolo unde adaugă valoare clară”, a spus Kulechov de la Aave Labs. „Dar completează, mai degrabă decât să înlocuiască, auditul condus de om.”
În acest sens, AI echipează atât atacatorii, cât și apărătorii. Pentru constructori, efectul pe termen lung poate fi mai puțin perturbare decât divergență.
„Nu am testat încă Mythos, dar suntem cu adevărat interesați de ceea ce el și instrumente similare pot face pentru securitatea protocolului”, a spus Hayden Adams, fondatorul și CEO-ul Uniswap Labs. „AI oferă constructorilor modalități mai bune de a testa la stres și de a întări sistemele.”
În timp, Adams se așteaptă ca decalajul dintre protocoalele sigure și cele nesigure să se lărgească. „Proiectele care prioritizează securitatea vor avea o capacitate mai mare de a testa și de a întări sistemele înainte de lansare”, a spus el. „Proiectele care nu o fac vor fi cele mai expuse riscului.”
Aceasta poate fi adevărata schimbare. Securitatea nu mai înseamnă eliminarea vulnerabilităților. Este vorba despre adaptarea continuă la un sistem în care aceste vulnerabilități sunt redescoperite și recombinate constant.