AIモデルによって4年前から存在していたZcashの脆弱性が明らかになり、セキュリティ研究者は同様の欠陥が暗号資産および従来の金融システムに潜んでいる可能性を指摘している。

AIを活用して発見された、プライバシーネットワークZcashの重大なバグは、暗号資産や銀行のソフトウェア全般において同様の未発見の脆弱性が存在する恐れがあるとの警告と受け止められている。

暗号資産コミュニティが懸念しているのは、このバグがネットワーク上に4年間も放置されていたにもかかわらず、非営利のプライバシートークン開発団体Shielded Labsが最近になってAnthropicの新AIモデルOpus 4.8を用いて発見したことである。Zcashはこの脆弱性について「修正済み」と表明しているが、もし発見が遅れていれば攻撃者が無制限の偽トークン発行を行う可能性があった。

この公表はすでに暗号資産コミュニティに動揺を招き、Zcashトークンは過去24時間で約38％の急落を記録した。SNS上では「暗号資産は終わった。AIに軸足を移すべき」との声も見受けられる。

現在、注目されているのはこうした状況の中で、AIの進化に伴いAnthropicの最新でより高度なシステム間の弱点を連鎖的に特定可能とされるAIモデルMythosの登場を控えるなか、暗号資産業界のセキュリティはどの程度の危険にさらされているのか、という点である。

一方、Zcashの初期投資家で著名な暗号資産ベンチャーキャピタルDragonflyのマネージングパートナーHaseeb Qureshiは、AIと暗号資産のセキュリティに関して異なる見解を示す。彼は、AIによる脆弱性の発見がコード改良の好機となると指摘する。

「AIがこのバグを発見したが、同時に形式検証も促進するはずだ。これこそが業界のソフトウェア全体を強化する道だと大いに期待している」とQureshiはX上で述べている。

QureshiのファンドはZcashを引き続き保有しており、AIが暗号資産セキュリティに果たす役割に対して楽観的である。一方、AI企業SingularityNETのCEO Ben GoertzelはCoinDeskに対し、同様の脆弱性が暗号資産に限らず銀行システムにも潜在している可能性が高いとの見方を示した。

Goertzelは「他の暗号資産は今回の特定バグ（Zcash実装の単純な論理エラー）には脆弱ではないが、似たような脆弱性は多数存在し、近いうちにAIツールによって発見される可能性が極めて高い」と説明し、さらに銀行や中央集権的なソフトウェアインフラにおいても「近い将来AIにより深刻なバグが判明する確率が高い」と述べている。

では、このAIによる脅威に対して実際にどのような解決策が考えられるのか。

QureshiとGoertzelは共に、暗号技術コードおよび世界のソフトウェアインフラが「形式検証」へと移行しなければならないと指摘する。

Ethereumの共同創設者Vitalik Buterinは「形式検証とは数学的定理の証明を自動的に検証可能な形式で表現することだ」と説明し、AI支援による形式検証がサイバーセキュリティにおける最重要手段の一つとなり得ると指摘している。これは、高性能AIがソフトウェア脆弱性発見を容易にする現状を踏まえたものである。

Qureshiも同様の見解を示し、「形式検証済みの暗号技術は構成上、実装バグを生じさせない。現在、AIはソフトウェア、ブラウザ、OS、ブロックチェーン全てに存在する脆弱性を明るみに出している。形式検証されたソフトウェアこそミッションクリティカルなシステムの未来だ」と述べ、Zcashも今後のロードマップでこの点を重視していることを明かした。

一方でGoertzelは、なぜ開発者が既に形式検証を活用して鉄壁のソフトウェアを構築できていないかについても言及。Zcashのプログラミング言語Rustは形式検証に対応するが追加工数が大きく、開発者が敬遠していること。またRustの主要ライブラリには検証が困難な「unsafe」構造が多く存在することを挙げている。

その一方で、安全に書き換えた場合のソフトウェア性能低下問題は「スーパーコンパイル」などの高度な技術によりパフォーマンスを向上させ解決可能であると述べている。

だが、いかなる防御策も実装は容易ではないと、セキュリティ企業CertiKのCEO兼共同創業者Ronghui GuはCoinDeskに語る。

Guは、これら脅威への防衛が非対称な戦いになっていると指摘する。

「現在、ハッカーは利益を動機にAIトークンを大量に消費し、攻撃対象のプロジェクトやスマートコントラクトの脆弱性を探っている」と話す。

攻撃者は膨大な計算資源を単一標的に投入するが、セキュリティ企業は数百のクライアントを同時に守らねばならず、そのための集中的資源投入はコスト面で困難を伴うという。

Guはこの非対称リスクに対応するため、小規模かつオンデマンドの自動スキャナーを日々の開発フローに組み込みつつ、数学的証明によりスマートコントラクトが重要なセキュリティ要件を満たしていることを担保すべきと説明している。

彼にとって課題は単に攻撃者より先にバグを発見することではなく、強力化するAIに対応して脆弱性防御を迅速に拡大できるかどうかに変わったという。

こうした脆弱性への迅速な対応策を巡る議論は今後も続く見込みだが、AIの進化が加速する現状において、すべての開発者が向き合う最大の問いは「二度と同様の事故を起こさないためにはどうすべきか」である。

Zcashの主要開発者でElectric Coin Company元CEO、現ZODL CEOのJosh Swihartは、この問題を端的に表現している。

「最も重要な問いは、脆弱性を二度と起こさないためにどうすればよいかということであり、その最良の答えが形式検証にある」とSwihartは自身のX記事『Never Again』で述べている。