AIモデルにより4年前から存在していたZcashの深刻な欠陥が発見されたことを受け、セキュリティ専門家は同様の問題が暗号資産及び伝統的な金融システムにも潜んでいる可能性を指摘しています。
AIを活用して明らかになったトップクラスのプライバシーネットワークであるZcashの重大なバグは、暗号資産や銀行のソフトウェア全般に未発見の欠陥が存在しかねないとの警鐘とみなされています。
暗号資産コミュニティで懸念されているのは、このバグがネットワークに4年もの間残存していたものの、非営利のプライバシートークン開発団体Shielded Labsが最近、Anthropicの最新AIモデルOpus 4.8を用いて発見した点です。Zcash側はこの脆弱性を「修正済み」と発表していますが、もし発見されなかった場合、攻撃者による無制限な偽トークン発行が可能だった恐れがあります。
この発表は暗号資産市場に動揺をもたらし、Zcashトークンは過去24時間で約38%下落しました。SNSでは「暗号資産は終わった。AIに軸足を移すべきだった」との声も見られています。
現在、多くの関係者が問うているのは、Anthropicのより高度なAIシステムMythosの登場を控えた世界で、AIがソフトウェアの弱点を次々と暴き、暗号資産業界のセキュリティが危機に瀕しているのかという点です。
しかし、Zcashの初期投資家である著名な暗号資産ベンチャーキャピタルDragonflyのマネージングパートナーHaseeb Qureshiは、AIと暗号資産セキュリティに対し異なる見解を示しています。彼は、AIによる脆弱性発見はコード改良の機会になると述べています。
QureshiはXで「AIがこのバグを検出したが、同時に形式検証によるカテゴリ全体の修正ももたらすだろう。これは業界全体のソフトウェア強化の道であり非常に期待している」と投稿しました。
彼のファームはZcashを保有し続けており、AIが暗号資産のセキュリティ強化に貢献すると信じています。一方で、AI企業SingularityNETのCEO Ben GoertzelはCoinDeskに対し、同様の脆弱性は暗号資産だけでなく従来の銀行システムにも潜んでいる可能性が極めて高いと語りました。
Goertzelは「他の暗号資産は、Zcashの単純な論理ミスに特化したこのバグには弱くない。しかし類似の脆弱性は多く存在し、間もなくAIツールによって発見される可能性が非常に高い」と説明しています。
加えて銀行や中央集権的機関のソフトウェアインフラにも「近い将来、AIツールで深刻なバグが検出される可能性が高い」と述べています。
では、このAIによる脅威に対する具体的な対策は何でしょうか。
QureshiとGoertzelはいずれも、暗号技術コードと世界的ソフトウェア基盤の「形式検証」への移行が必要だとしています。
Ethereum共同創設者Vitalik Buterinは、形式検証を「数学的定理の証明を自動で検証可能な形で記述すること」と説明。AI支援による形式検証はサイバーセキュリティの鍵となると指摘しています。高性能AIの脆弱性検出能力がその要因です。
Qureshiも「形式検証済みの暗号技術は設計上実装バグを持たない。現在AIはあらゆるソフトウェア、ブラウザ、OS、ブロックチェーンの脆弱性を炙り出している。形式検証がミッションクリティカルソフトウェアの唯一の未来だ」と述べ、Zcashもロードマップでこの点を重視していることを明かしました。
一方でGoertzelは、なぜ開発者が形式検証を活用して堅牢なソフトウェアを開発できていないのかも説明しています。
Goertzelによると、Zcashで用いられるプログラミング言語Rustは形式検証可能ですが、開発者は追加工数を嫌いほとんど実施していません。またRustの主要ライブラリには検証が困難な「unsafe」構造が多く含まれているとのことです。
しかし、それらを安全に書き直すとソフトウェアの性能低下が起きるため、この課題は「スーパーコンパイル」のような高度な手法でパフォーマンスを維持しながら解決可能だと指摘しています。
防御策の実装は理論上は容易でも現実には難しいと、セキュリティ企業CertiKのCEO兼共同創業者Ronghui GuはCoinDeskに語りました。
Guはこのリスク対応が不均衡な戦いだと述べています。
「現状、ハッカーは利益動機でAIトークンを大量消費し攻撃対象のプロジェクトやスマートコントラクトの脆弱性を探している」と説明。
利益追求のハッカーが単一標的に膨大な計算資源を投入している一方、セキュリティ企業は多くのクライアントを同時に守る必要があり、同じような資源投入は高コストで難しいとのことです。
こうした非対称リスクに備え、Guはセキュリティ企業が小規模なオンデマンド自動スキャナーを日常開発フローに導入し、数学的証明でスマートコントラクトの重要なセキュリティ特性を保証すべきだと述べています。
彼にとって課題は、単に攻撃者より先にバグを発見することから、AIの進化に応じて脆弱性防御を迅速に拡大できるかどうかに変わったと指摘しました。
脆弱性への先回り対応についての議論は続く見込みですが、AI技術の急速な発展の中で、すべての開発者が直面している最大の問題は「同じような脆弱性を二度と起こさないためにはどうすればよいか」です。
Zcashの主要開発者でElectric Coin Company元CEO、現ZODL CEOのJosh Swihartはこの問題を端的に表現しています。
彼は自身のX記事『Never Again』で「最も重要な問いは脆弱性が二度と発生しないようにする方法だ。最良の答えは形式検証にある」と述べています。