coindesk.com
Die Veröffentlichung von Mythos, einem KI-System, das entwickelt wurde, um autonom Sicherheitslücken im Code entdecken, könnte mehr bewirken, als nur Blockchain-Entwicklern bei der Fehlerfindung zu helfen.
Da KI-gestützte Sicherheitswerkzeuge erschwinglicher, schneller und weiter verbreitet werden, erklärten Forscher, dass sie die Vorstellung dessen, was die Kryptoindustrie als angemessene Due Diligence vor der Bereitstellung von Code betrachtet, neu gestalten könnten, was möglicherweise die Erwartungen an Entwickler und Institutionen verändert.
Seit Jahren ist die Sicherheit von Smart Contracts durch Budgets begrenzt. Umfassende Prüfungen sind oft kostspielig, weshalb KI-Systeme wie Mythos, das Anfang dieses Monats kurzzeitig veröffentlicht wurde, an Bedeutung gewinnen bevor es vom amerikanischen Markt entfernt wurde, deutlich günstiger.
"„Es drückt den Preis für eine grundlegende Prüfung gegen Null“, sagte Alexander Urbelis, Chief Information Security Officer bei ENS Labs. Arbeiten, die einst Wochen und erhebliche Kosten erforderten, könnten schließlich in Minuten erledigt werden, sodass Projekte, die sich zuvor keine professionellen Bewertungen leisten konnten, schnelle Sicherheitsbewertungen erhalten können.
Seit Jahren verlassen sich Forscher auf automatisierte Werkzeuge, sogenannte Fuzzer, um Softwarefehler aufzuspüren, indem sie Programme mit Eingaben bombardieren und beobachten, was dabei fehlschlägt. KI-Systeme verfolgen einen anderen Ansatz.
„Es ist eine Änderung im Grad, die wahrscheinlich eine Änderung in der Art bewirken könnte“, sagte Urbelis. „Maschinen jagen seit Jahren Fehler. Aber jetzt sprechen wir von einem Fuzzer, der die Fähigkeit besitzt, zu denken.“
Anstatt lediglich technische Fehler zu identifizieren, könnten Systeme wie Mythos daraus ableiten, was der Code beabsichtigte zu tun, und dies mit dem tatsächlichen Verhalten vergleichen. Im Kryptobereich, wo der Smart-Contract-Code öffentlich ist und Bug-Bounties hohe Budgets haben können, könnte diese Fähigkeit die Branche erheblich dabei unterstützen, Schwachstellen vor dem Start zu erkennen.
David Schwed, COO des Blockchain-Sicherheitsunternehmens SVRN und Gründer des Masterstudiengangs Cybersicherheit an der Yeshiva University, bezeichnete den Wandel als noch bedeutender.
Diese Modelle agieren jetzt genauso wie ein menschlicher Angreifer", sagte Schwed. "Sie iterieren, sie machen den nächsten Schritt basierend darauf, was sie in Echtzeit sehen. Die älteren Werkzeuge waren lediglich komplexe deterministische Abläufe.
Aber Schwed argumentierte, dass die größere Veränderung möglicherweise nicht die Entdeckung von Schwachstellen selbst sei. Es könnte das Aufkommen einer kontinuierlichen Sicherheitsüberwachung sein.
„Die eigentliche Veränderung besteht in der kontinuierlichen Prüfung mit vorgeschlagenen Abhilfemaßnahmen zu einem Bruchteil der Kosten, anstatt einer einmaligen Überprüfung, die man sich nur einmal leisten kann“, sagte er.
Wenn Sicherheitsüberprüfungen kostengünstig und kontinuierlich werden, könnten sich laut Forschern die Erwartungen der Branche entsprechend ändern.