AIモデルが4年前から潜んでいたZcashの欠陥を発見したことを受けて、セキュリティ研究者は同様のバグが暗号資産や従来の金融システムに広く存在する可能性を指摘している。
AIによって明らかとなったトッププライバシーネットワークZcashの重大なバグは、暗号資産業界および銀行のソフトウェア全体に未発見の欠陥が潜む可能性を示唆する警鐘と受け止められている。
暗号資産コミュニティが最も懸念しているのは、このバグがネットワーク上で約4年間も放置されていた点だ。非営利のプライバシートークン開発団体Shielded Labsは、Anthropicの新しいAIモデルOpus 4.8を活用して最近この脆弱性を発見した。Zcashはこの問題を「修正済み」と公表したが、もし発見されなければ攻撃者は無制限の偽トークンを発行できた可能性があった。
この発表は暗号資産業界に大きな動揺を与え、Zcashトークンは過去24時間で約38%も下落した。SNS上では「暗号資産は終わった。AI技術に軸足を移すべきだ」との声も聞かれた。
現在、業界関係者の関心はこうしたAIの進化によって、Anthropicのさらに進化したAIモデルMythosが、システムの脆弱性を連鎖的に特定できる世界において、暗号資産業界のセキュリティがどの程度危険にさらされるかに向いている。
しかし、Zcashの初期投資家で著名な暗号資産ベンチャーキャピタルDragonflyのマネージングパートナーであるHaseeb Qureshiは、AIの暗号資産セキュリティへの影響について異なる見解を示している。Qureshi氏は、AIによる脆弱性の発見はコードの改善機会をもたらすと述べている。
「AIがこのバグを見つけたことで、同種の脆弱性を解消する形式検証(formal verification)への道も開かれた。これは業界全体のソフトウェアを強化する非常に有望な手段だ」とQureshi氏はX(旧Twitter)で述べた。
Qureshi氏のファームは引き続きZcashを保有しており、AIが暗号資産のセキュリティに果たす役割に強気の姿勢をとっている。一方で、AI企業SingularityNETのCEOであるBen GoertzelはCoinDeskに対し、同様の脆弱性は暗号資産に限らず従来の銀行システムにも存在し得ると語った。
Goertzel氏は「他の暗号資産はこの特定のバグ(Zcashの実装にみられる単純な論理エラー)には脆弱ではないものの、類似の脆弱性は多く存在し、近い将来AIツールによって検出される可能性が極めて高い」と説明した。
さらに、銀行やその他の中央集権的な機関のソフトウェアインフラにも、「今後AIツールによって深刻なバグが発見されるリスクが高い」と指摘している。
形式検証
では、こうしたAIによる脆弱性発見の脅威に対してどのような解決策があるのか。
Qureshi氏とGoertzel氏は共に、暗号技術コードやグローバルなソフトウェアインフラにおいて「形式検証」への移行が不可欠だと述べている。
Ethereumの共同創設者Vitalik Buterinは、形式検証について「数学的定理の証明を自動的に検証可能な形で記述する手法」と説明し、AI支援による形式検証がサイバーセキュリティにおける最重要ツールの一つになり得ると指摘した。これは、高性能AIによってソフトウェアの脆弱性の発見が容易になっていることに対応するためである。
Qureshi氏も同様の認識を示し、「形式検証された暗号技術は、その構造上、実装にバグを持ち得ない。現在、AIはすべてのソフトウェア、ウェブブラウザ、OS、ブロックチェーンなど、多様なシステムの脆弱性を露呈させている。形式検証ソフトこそが、ミッションクリティカルなソフトウェアの唯一の未来だ」と述べ、Zcashのロードマップでもこの点を重視していることを明かした。
一方で、Goertzel氏はなぜ開発者たちが既に形式検証を駆使して鉄壁のソフトウェアを構築できていないのかについても説明した。
Goertzel氏によれば、Zcashが利用するプログラミング言語Rustは形式検証に対応可能だが、追加の作業負荷が大きいため開発者の多くは形式検証を実施していない。また、Rustの主要ライブラリには検証困難な「unsafe」と呼ばれる構造が多く含まれているという。
さらに、そうした箇所を安全に書き換えるとパフォーマンス低下の問題が生じるが、この課題は「スーパーコンパイル」などの高度な技術でパフォーマンスを改善できると指摘している。
非対称なセキュリティ競争
しかし、こうした防御策の導入は口で言うほど容易ではないと、セキュリティ企業CertiKのCEO兼共同創業者Ronghui GuはCoinDeskに語った。
Gu氏は現状の防御戦略は極めて不均衡な戦いだと指摘している。
「現在、ハッカーは利益を動機にAIトークンを大量消費して攻撃対象プロジェクトやスマートコントラクトの脆弱性を探している」と述べた。
Gu氏によると、利益追求型のハッカーは膨大な計算資源を単一の標的に集中させ消費している一方で、セキュリティ企業は多数のクライアントを同時に守る必要があり、同様の集中リソース投入は高コストで困難だという。
こうした非対称リスクに対応するため、Gu氏はセキュリティ企業が日常的な開発フローに小規模でオンデマンドな自動スキャナーを組み込みつつ、数学的証明に基づいてスマートコントラクトの重要なセキュリティ特性を保証すべきだと説明している。
Gu氏が指摘する課題は単に攻撃者より先にバグを見つけることだけでなく、強力なAIシステムの進化に伴い防御を迅速に拡大できるかがカギだと変化している。
こうした脆弱性への先手の対策をめぐる議論は今後も続く見込みだが、AIの進化が加速する中で、すべての開発者にとって喫緊の課題は「同様の事故を二度と起こさないにはどうすれば良いか」という問いである。
Zcashの主要開発者でElectric Coin Company元CEO、現ZODL CEOのJosh Swihartはこの課題を端的に示している。
Swihart氏は自身のXの記事『Never Again』で、「最も重要な問いは二度と脆弱性を生じさせないにはどうすれば良いかということだ。最良の解は形式検証にある」と述べている。
