Anthropic đã phát triển một mô hình AI có khả năng tìm thấy các lỗ hổng phần mềm nghiêm trọng chưa từng được phát hiện trong 27 năm, tạo ra một rủi ro hệ thống mới đáng kể cho hệ sinh thái tài chính phi tập trung (DeFi) trị giá 200 tỷ USD.
Công ty lưu ý rằng "các biện pháp giảm thiểu rủi ro mà giá trị bảo mật chủ yếu đến từ rào cản ma sát thay vì các rào cản cứng có thể trở nên yếu hơn đáng kể trước những kẻ tấn công được hỗ trợ bởi mô hình AI."
Mô hình Claude Mythos Preview đã tìm thấy một lỗi 27 năm tuổi trong hệ điều hành OpenBSD tập trung vào bảo mật với chi phí tính toán chưa đầy 50 USD và tạo ra một cuộc tấn công Linux hoạt động từ một lỗ hổng đã biết trong vòng chưa đầy một ngày với chi phí dưới 2.000 USD.
Việc phát hiện ra các khiếm khuyết trong các thư viện mật mã cốt lõi như TLS và SSH đe dọa trực tiếp đến nền tảng mã nguồn mở của các giao thức DeFi trên Ethereum và Solana, cho thấy rằng các biện pháp bảo vệ như kiểm toán và ví đa chữ ký có thể không đủ khả năng chống lại các cuộc tấn công do AI thúc đẩy.
Một loại đe dọa tự động mới
Claude Mythos Preview đã chứng minh một khả năng vượt xa các công cụ tự động hiện có và trong một số trường hợp là hàng thập kỷ nghiên cứu bảo mật của con người. Nó đã phát hiện ra một lỗi 16 năm tuổi trong phần mềm video FFmpeg được sử dụng rộng rãi, vốn đã được các công cụ khác quét năm triệu lần mà không bị phát hiện. Điều này hoàn toàn trái ngược với các mối đe dọa lý thuyết như điện toán lượng tử, vì mô hình Mythos đã đi vào hoạt động. Khả năng tìm kiếm nhanh chóng và vũ khí hóa các khiếm khuyết trong phần mềm bảo vệ tiền của người dùng gây ra một rủi ro tức thời và hữu hình.
Các biện pháp phòng thủ dựa trên rào cản ma sát bị tấn công
Mối đe dọa này đặc biệt nghiêm trọng đối với lĩnh vực DeFi, nơi mã giao thức là mã nguồn mở và bất kỳ ai cũng có thể đọc được — bao gồm cả một AI hoạt động với tốc độ máy móc. Khoảng 200 tỷ USD bị khóa trong các hợp đồng thông minh đã được thẩm định bởi các cuộc kiểm toán của con người và các công cụ quét tự động, nhưng Anthropic tuyên bố mô hình của họ hoạt động vượt xa khả năng của cả hai. Điều này thách thức tính hiệu quả của các biện pháp bảo mật phổ biến trong tiền điện tử, chẳng hạn như yêu cầu nhiều chữ ký cho các giao dịch (multisig), áp đặt thời gian trễ (timelocks) và dựa vào các báo cáo kiểm toán làm bằng chứng bảo mật. Các biện pháp phòng thủ "dựa trên rào cản ma sát" này được thiết kế để làm chậm kẻ tấn công, chứ không phải để ngăn chặn một mối đe dọa có thể phân tích và khai thác mã với chi phí biên gần như bằng không.
Mặc dù thị trường DeFi, được đo bằng Chỉ số CoinDesk DeFi Select, đã tăng 7% nhờ tin tức kinh tế vĩ mô không liên quan, sự phát triển này đưa vào một rủi ro đáng kể chưa được định giá. Các nhà đầu tư có thể cần đánh giá lại bảo mật giao thức vượt ra ngoài các cuộc kiểm toán tiêu chuẩn. Sự phân hóa giữa các giao thức có tính bảo mật cứng và các giao thức phụ thuộc vào rào cản ma sát có thể trở thành động lực thúc đẩy hiệu suất chính. Mô hình hiện đang bị giới hạn ở 40 công ty, bao gồm cả Google và Microsoft, theo 'Project Glasswing', điều này trì hoãn nhưng không loại bỏ mối đe dọa công khai.
Bài viết này chỉ mang tính chất thông tin và không cấu thành lời khuyên đầu tư.
