AIと暗号攻撃の現状
AIは暗号攻撃者に防御者が使用するのと同じツールを提供し、その結果、業界は数十億ドルの損失を被っています。ImmunefiのCEOであるMitchell Amadorは、シンガポールでのToken2049ウィークの開始時にDecryptに対し、AIが脆弱性の発見をほぼ瞬時の悪用に変え、彼の会社が構築した高度な監査ツールはもはや善良な人々だけのものではないと語りました。
「もし私たちがそれを持っているなら、北朝鮮のLazarusグループは同様のツールを構築できるでしょうか?ロシアとウクライナのハッカーグループは同様のツールを構築できるでしょうか?」とAmadorは尋ねました。「答えは、彼らはできるということです。」
ImmunefiのAI監査エージェントは、従来の監査会社の大多数を上回る性能を発揮しますが、その同じ能力は資金力のあるハッキング作業にも手の届く範囲にあると彼は述べました。
セキュリティの課題と対策
「監査は素晴らしいですが、攻撃者の革新の速度と改善の累積速度に追いつくには全く不十分です。」と彼は言いました。2024年にはエコシステム全体でロックされた総価値の3%以上が盗まれると予測され、Amadorはセキュリティがもはや後回しにされることはないが、プロジェクトは「どのように投資し、リソースを効果的に配分するかを知るのに苦労している」と述べました。
業界は「優先順位の問題から、素晴らしいことですが、知識と教育の問題に移行しました」と彼は付け加えました。AIはまた、洗練されたソーシャルエンジニアリング攻撃を非常に安価にしているとAmadorは述べました。
「その電話がいくらかかると思いますか?」と彼は、同僚を驚くほど正確に模倣できるAI生成のフィッシングコールを指して言いました。「よく考えられたプロンプトのシステムを使えば、数セントでそれを実行でき、大量に実行できます。それがAIの恐ろしい部分です。」
AI駆動の攻撃とその影響
ImmunefiのCEOは、Lazarusのようなグループが「少なくとも数百人、場合によっては数千人が24時間体制で働いている」と述べ、暗号の悪用が北朝鮮経済の主要な収入源であると語りました。AI駆動の攻撃のゲームは、何かが発見から悪用に至る速度を加速させることだとAmadorはDecryptに語りました。
「それに対抗するための唯一の解決策は、さらに迅速な対策です。」Immunefiの対応は、開発者のGitHubリポジトリやCI/CDパイプラインにAIを直接組み込むことで、コードが本番環境に到達する前に脆弱性をキャッチすることだと彼は指摘し、このアプローチが1〜2年以内にDeFiハックの「急激な減少」を引き起こすと予測しました。
バグバウンティとセキュリティの未来
HackenProofのCEOであるDmytro Matviivは、Decryptに対し「手動監査は常に役割を持つが、その役割は変わるだろう」と述べました。AIツールはますます効果的に「低い果実」の脆弱性をキャッチし、一般的なミスの大規模な手動レビューの必要性を減少させています。
「残るのは、深い人間の専門知識を必要とする微妙で文脈依存の問題です。」
AI駆動の攻撃に対抗するために、Immunefiはすべての会社のリソースとインフラに対してホワイトリストのみのポリシーを実施しており、Amadorは「何千ものこれらの試みを非常に効果的に阻止した」と述べました。しかし、このレベルの警戒はほとんどの組織には実用的ではないと彼は言い、「私たちはImmuneifyでそれを行うことができるのは、私たちがセキュリティと警戒を生き、呼吸する会社だからです。普通の人々はそれを行うことができません。彼らには生きる生活があります。」
Immunefiはホワイトハットハッカーに対して1億ドル以上の支払いを行い、毎月の分配は100万ドルから500万ドルの範囲で安定しています。しかし、AmadorはDecryptに対し、プラットフォームは「限界に達した」と述べ、業界全体で必要なカバレッジを提供するための「十分な目」がないと語りました。
結論
この制約は研究者の可用性だけでなく、バグバウンティは両側に歪んだインセンティブを生み出す内在的なゼロサムゲームの問題に直面しているとAmadorは述べました。研究者は脆弱性を明らかにする必要がありますが、開示されるとすべてのレバレッジを失います。Amadorは、Immunefiが開示が行われる前にすべてを指定する包括的な契約を交渉することでこれを軽減していると述べました。
