AI đang làm cho kiểm tra bảo mật crypto rẻ hơn, nhanh hơn và khó bỏ qua hơn

AI đang thay đổi cách ngành crypto nghĩ về bảo mật

Việc ra mắt Mythos, một hệ thống AI có khả năng tự động phát hiện lỗ hổng trong mã nguồn, không chỉ giúp nhà phát triển blockchain tìm lỗi nhanh hơn. Theo các nhà nghiên cứu, khi công cụ bảo mật dùng AI trở nên rẻ hơn, nhanh hơn và dễ tiếp cận hơn, tiêu chuẩn về thẩm định trước khi triển khai code trong ngành crypto cũng có thể thay đổi đáng kể.

Trong nhiều năm, bảo mật hợp đồng thông minh bị giới hạn bởi ngân sách. Những đợt audit toàn diện thường rất tốn kém, trong khi các hệ thống như Mythos, dù chỉ xuất hiện trong thời gian ngắn rồi bị rút khỏi thị trường Mỹ, lại cho thấy một hướng tiếp cận có chi phí thấp hơn rất nhiều.

Chi phí audit có thể giảm mạnh

Alexander Urbelis, giám đốc an ninh thông tin tại ENS Labs, cho rằng AI có thể đẩy giá của một cuộc audit cơ bản tiến gần về mức gần như bằng không. Những công việc từng cần hàng tuần và chi phí đáng kể, về sau có thể chỉ mất vài phút, giúp cả những dự án không đủ ngân sách thuê kiểm toán chuyên nghiệp vẫn có thể nhận được đánh giá bảo mật nhanh chóng.

Ông nói đây là sự thay đổi không chỉ ở mức độ, mà có thể dẫn tới thay đổi về bản chất. Máy móc đã săn lỗi phần mềm trong nhiều năm, nhưng giờ câu chuyện là một công cụ dò lỗi có khả năng suy luận, thay vì chỉ chạy theo các mẫu có sẵn.

Từ fuzzing sang suy luận

Trước đây, các nhà nghiên cứu thường dùng fuzzers, tức công cụ tự động bơm đầu vào vào chương trình để xem điều gì hỏng. Cách làm đó hữu ích, nhưng AI đi xa hơn.

Thay vì chỉ phát hiện lỗi kỹ thuật, hệ thống như Mythos có thể suy đoán mục đích của đoạn code rồi đối chiếu với cách nó thực sự vận hành. Với crypto, nơi mã hợp đồng thông minh công khai và các chương trình bounty thường có ngân sách lớn, khả năng này có thể giúp phát hiện nhiều lỗ hổng hơn trước khi dự án ra mắt.

David Schwed, COO của công ty bảo mật blockchain SVRN và là người sáng lập chương trình thạc sĩ an ninh mạng tại Đại học Yeshiva, cho rằng sự thay đổi này còn lớn hơn thế.

Ông nhận xét các mô hình hiện nay bắt đầu vận hành giống một kẻ tấn công thực thụ, tức là liên tục thử, quan sát phản ứng theo thời gian thực rồi bước tiếp theo sau đó. So với cách này, các công cụ cũ chủ yếu chỉ là các luồng xử lý xác định, phức tạp nhưng ít linh hoạt.

Điều quan trọng hơn có thể là giám sát liên tục

Theo Schwed, tác động lớn nhất của AI không nằm ở việc tìm lỗi nhanh hơn, mà ở khả năng giám sát bảo mật liên tục.

Ông cho rằng ngành crypto có thể chuyển từ mô hình kiểm tra tại một thời điểm cố định sang kiểm toán liên tục kèm gợi ý khắc phục, với chi phí chỉ bằng một phần nhỏ so với hiện tại. Điều đó mở ra khả năng các dự án được rà soát thường xuyên thay vì chỉ audit một lần trước khi triển khai.

Nếu các bài kiểm tra bảo mật trở nên rẻ và có thể lặp lại liên tục, kỳ vọng của thị trường cũng sẽ thay đổi theo.

Urbelis nói AI có thể dần định hình lại chuẩn mực cần có khi phát triển smart contract. Trước đây, đội ngũ phát triển có thể viện dẫn chi phí và độ phức tạp để lý giải vì sao họ không thực hiện một số bước rà soát. Lập luận đó sẽ yếu đi khi phân tích bảo mật chất lượng cao có thể được thực hiện theo yêu cầu.

Ông cho rằng một báo cáo AI sạch sẽ chưa chắc là lá chắn pháp lý. Ngược lại, nguyên đơn có thể lập luận rằng công cụ đã tồn tại, giá lại rẻ, vậy lẽ ra lỗi phải được phát hiện.

Nhưng AI không thay thế được con người

Dù triển vọng rất lớn, cả hai chuyên gia đều không cho rằng AI sắp thay thế kiểm toán viên con người.

Máy móc có thể giỏi tìm lỗi lập trình, nhưng lại yếu hơn trong việc nhận diện những rủi ro đến từ động lực kinh tế, cơ chế khuyến khích hay hành vi con người. Urbelis nhấn mạnh các lỗ hổng làm thất thoát kho bạc thường gắn với ý định và thế đối đầu giữa các bên, nên vẫn cần một người có kinh nghiệm ngồi phân tích.

Schwed cũng đồng tình. Theo ông, việc ra lệnh cho AI audit hợp đồng thông minh không thể tự động tạo ra một chương trình bảo mật đúng nghĩa, nhất là khi người vận hành không đủ năng lực đọc và đánh giá đầu ra. Khi đó, doanh nghiệp chỉ đang mua cảm giác an toàn, không phải an toàn thực sự.

Nhiều vụ thiệt hại lớn đến từ con người, không phải code

Một điểm nữa khiến AI khó trở thành lời giải toàn diện là không ít vụ hack lớn trong crypto không bắt nguồn từ lỗi trong smart contract.

Urbelis nhắc đến vụ Drift gần đây, mà ông mô tả là kết quả của một chiến dịch social engineering kéo dài nhiều tháng, nhắm vào các cộng tác viên đáng tin cậy thay vì trực tiếp vào code của giao thức. Theo ông, hợp đồng thông minh đã thực hiện đúng những gì nó được yêu cầu, vấn đề nằm ở quyền lực đứng sau lệnh đã bị chiếm quyền và lạm dụng.

Schwed thì dẫn ra các sự cố như Ronin và Bybit, nơi khóa ký và quy trình ký giao dịch bị thao túng, chứ không phải lỗ hổng phần mềm thuần túy, đóng vai trò trung tâm.

Ông nhấn mạnh rằng không có công cụ quét mã nào có thể ngăn một người ký được ủy quyền phê duyệt một giao dịch mà chính họ cũng không xác minh được.

Ý nghĩa đối với thị trường crypto

Kết luận của hai nhà nghiên cứu khá rõ ràng: AI sẽ không xóa sạch các vấn đề bảo mật của crypto, nhưng nó có thể làm thay đổi mạnh mẽ chi phí phát hiện lỗi và mức kỳ vọng của thị trường đối với việc tìm ra lỗi đó.

Nếu các công cụ như Mythos được triển khai rộng rãi, ngành có thể sớm coi audit hỗ trợ bởi AI là một phần gần như mặc định trong quy trình thẩm định. Khi đó, câu hỏi không còn là có nên dùng AI để kiểm tra hay không, mà là ai sẽ chịu trách nhiệm nếu không dùng.

Điểm chính cần nhớ

• AI có thể kéo chi phí audit smart contract xuống thấp hơn rất nhiều.
• Mô hình kiểm tra liên tục có thể thay thế cách audit một lần như hiện nay.
• AI giỏi phát hiện lỗi code, nhưng chưa thể thay con người đánh giá rủi ro về hành vi và kinh tế.
• Nhiều vụ thiệt hại lớn trong crypto đến từ social engineering, khóa bị lộ hoặc quy trình vận hành yếu.
• Tác động lớn nhất của AI có thể nằm ở việc thay đổi chuẩn mực thẩm định bảo mật trong toàn ngành.