AI phơi bày lỗ hổng lớn trong Zcash, giới an ninh cảnh báo ngân hàng cũng có thể gặp rủi ro

AI đang làm lộ ra những điểm yếu khó thấy trong hệ thống

Một lỗi nghiêm trọng trong mạng Zcash vừa được phát hiện nhờ trí tuệ nhân tạo, và sự việc này đang khiến giới bảo mật lo ngại rằng các phần mềm tài chính khác, từ crypto đến ngân hàng, cũng có thể đang chứa những lỗ hổng tương tự mà chưa ai nhận ra.

Điểm đáng chú ý là lỗi này đã âm thầm tồn tại trong suốt 4 năm. Nó chỉ được Shielded Labs, một nhóm phát triển phi lợi nhuận trong hệ sinh thái Zcash, phát hiện gần đây bằng mô hình Opus 4.8 của Anthropic. Theo Zcash, vấn đề đã được khắc phục. Nếu không bị phát hiện, lỗ hổng này có thể cho phép kẻ tấn công tạo ra lượng token giả vô hạn.

Zcash rung lắc mạnh sau sự cố

Việc công bố lỗi đã gây phản ứng mạnh trong cộng đồng crypto. Trong 24 giờ gần nhất, giá Zcash đã giảm gần 38%. Trên mạng xã hội, thậm chí có những bình luận cho rằng ngành crypto đã đi vào ngõ cụt và lẽ ra nên chuyển hướng sang AI từ sớm.

Sự việc cũng làm nảy sinh một câu hỏi lớn hơn: khi các mô hình AI ngày càng mạnh, đặc biệt trong bối cảnh Anthropic chuẩn bị tung ra Mythos, liệu năng lực săn lỗi của AI có khiến an ninh của toàn ngành crypto trở nên mong manh hơn không.

Quan điểm trái chiều: rủi ro lớn hơn, nhưng cũng là cơ hội để vá lỗi

Không phải ai trong ngành cũng nhìn AI theo hướng tiêu cực. Dragonfly, quỹ đầu tư mạo hiểm từng rót vốn sớm vào Zcash, cho rằng việc AI phát hiện lỗi là tín hiệu tích cực vì nó giúp phần mềm trở nên tốt hơn theo thời gian.

Haseeb Qureshi, đối tác quản lý của Dragonfly, viết rằng AI không chỉ tìm ra lỗi mà còn có thể hỗ trợ cách khắc phục mang tính hệ thống, cụ thể là formal verification. Theo ông, đây là hướng đi rất đáng tin cậy để tăng độ an toàn cho toàn bộ lớp phần mềm quan trọng.

Ben Goertzel, CEO của công ty AI SingularityNET, lại mở rộng mối lo này ra ngoài crypto. Ông cho rằng các lỗi tương tự không chỉ xuất hiện trong tiền mã hóa mà còn có khả năng nằm trong hệ thống ngân hàng truyền thống.

Theo Goertzel, lỗi vừa phát hiện ở Zcash là một sai sót logic đơn giản trong cách triển khai. Tuy nhiên, điều đó không có nghĩa các đồng tiền số khác an toàn hơn hẳn, mà ngược lại, nhiều hệ thống khác cũng rất có thể đang chứa các điểm yếu tương tự và sẽ bị AI phát hiện trong vài tuần hoặc vài tháng tới.

Ông cũng cảnh báo rằng hạ tầng phần mềm của ngân hàng và các tổ chức tập trung khác nhiều khả năng đang mang theo những lỗi nghiêm trọng có thể sớm bị AI soi ra.

Formal verification được xem là lời giải dài hạn

Trước nguy cơ AI tìm lỗi ngày càng nhanh, cả Qureshi và Goertzel đều cho rằng ngành công nghệ cần chuyển sang formal verification, tức cách xây dựng và kiểm chứng phần mềm dựa trên chứng minh toán học có thể được máy tính kiểm tra tự động.

Vitalik Buterin, đồng sáng lập Ethereum, từng mô tả đây là phương pháp viết ra các chứng minh sao cho hệ thống có thể xác minh bằng máy. Ông cũng cho rằng khi AI hỗ trợ quá trình này, formal verification có thể trở thành một trong những công cụ quan trọng nhất của an ninh mạng trong tương lai.

Qureshi nhấn mạnh rằng phần mềm đã được formal verification sẽ không phát sinh lỗi triển khai theo đúng bản chất thiết kế. Ông cho rằng AI đang phơi bày lỗ hổng ở khắp nơi, từ trình duyệt, hệ điều hành cho tới blockchain, nên phần mềm có tính sống còn sẽ phải đi theo con đường này.

Goertzel thì giải thích lý do vì sao các nhà phát triển chưa áp dụng rộng rãi. Theo ông, dù Rust có thể được kiểm chứng hình thức, quá trình này đòi hỏi thêm công sức nên ít người thực hiện. Bên cạnh đó, nhiều thư viện lõi của Rust còn dùng các cấu trúc không an toàn, khiến việc kiểm chứng trở nên khó hơn.

Nếu chuyển toàn bộ sang cách viết an toàn hơn, tốc độ có thể giảm. Goertzel cho rằng bài toán này có thể được cải thiện bằng các kỹ thuật nâng cao như supercompilation để tăng hiệu suất.

Cuộc đua phòng thủ đang bất cân xứng

Theo Ronghui Gu, CEO kiêm đồng sáng lập công ty bảo mật CertiK, việc xây dựng phòng tuyến trước những mối đe dọa này không hề đơn giản.

Ông nói cuộc chiến hiện tại mang tính bất cân xứng rất rõ. Kẻ tấn công thường có động lực lợi nhuận cao nên sẵn sàng tiêu tốn một lượng lớn tài nguyên AI để dồn toàn lực vào một mục tiêu duy nhất, chẳng hạn một dự án hoặc một smart contract cụ thể.

Trong khi đó, các công ty bảo mật phải bảo vệ hàng trăm khách hàng cùng lúc nên không thể tập trung nguồn lực tương đương vào từng mục tiêu riêng lẻ. Điều này khiến chi phí phòng thủ tăng cao và khó duy trì hiệu quả nếu chỉ dựa vào kiểm tra thủ công hoặc phản ứng chậm.

Gu cho rằng các đơn vị bảo mật cần gắn công cụ quét tự động vào quy trình phát triển hằng ngày, triển khai theo phiên nhỏ, theo nhu cầu thực tế. Đồng thời, họ phải dựa vào các chứng minh toán học để bảo đảm hợp đồng thông minh đáp ứng đúng những thuộc tính an toàn quan trọng.

Bài học từ Zcash sẽ còn lan rộng

Theo Gu, thách thức bây giờ không chỉ là tìm lỗi trước kẻ tấn công, mà còn là mở rộng năng lực phòng thủ đủ nhanh để theo kịp tốc độ tiến hóa của AI.

Cuộc tranh luận về cách đi trước các lỗ hổng kiểu này chắc chắn sẽ còn kéo dài. Nhưng điều đã khá rõ là khi AI ngày càng mạnh hơn, nhanh hơn và thông minh hơn, câu hỏi lớn nhất với nhà phát triển không còn là có lỗi hay không, mà là làm sao để những sự cố như vậy không lặp lại.

Josh Swihart, CEO của ZODL và là cựu CEO Electric Coin Company, đơn vị phát triển quan trọng của Zcash, tóm gọn vấn đề bằng một nhận định ngắn: điều đáng quan tâm nhất là làm sao để lỗ hổng không bao giờ quay trở lại, và câu trả lời tốt nhất vẫn là formal verification.