ข่าว 
ข้อมูลเหรียญ 
แนะนำสื่อ 
ระบบความปลอดภัยด้วย AI ‘มิตอส(Mythos)’ กำลังเขย่าวิธีการตรวจสอบช่องโหว่ของวงการบล็อกเชนแบบเดิม โดยเฉพาะงานตรวจสอบสัญญาอัจฉริยะ(smart contract audit) ที่เคยติดปัญหา ‘ต้นทุนสูง-ใช้เวลานาน’ กำลังถูกผลักไปสู่ยุค ‘ตรวจสอบได้ตลอดเวลา’ แทน
‘มิตอส’ คือระบบ AI ที่ตรวจหาช่องโหว่ของโค้ดได้ด้วยตัวเอง เปิดให้ทดลองใช้งานช่วงต้นเดือนที่ผ่านมา ก่อนถูกถอดออกจากตลาดสหรัฐไปชั่วคราว แม้จะเปิดไม่นาน แต่ก็สร้างแรงสั่นสะเทือนอย่างชัดเจน เพราะการมาของเครื่องมือความปลอดภัยด้วย AI ที่ ‘ถูกกว่า-เร็วกว่า’ กำลังจะทำให้มาตรฐาน ‘การตรวจสอบความปลอดภัยขั้นต่ำ’ ของนักพัฒนาและองค์กรทั้งวงการเปลี่ยนไป
ตลอดที่ผ่านมา การตรวจสอบสัญญาอัจฉริยะอย่างละเอียดต้องใช้ทั้งเวลาเป็นสัปดาห์และงบประมาณจำนวนมาก จนหลายโปรเจกต์เลือก ‘ไม่ตรวจเลย’ เพราะรับต้นทุนไม่ไหว อเล็กซานเดอร์ เออร์เบลิส(Alexander Urbelis) ประธานเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ ENS Labs มองว่า ต่อไป ‘ค่าใช้จ่ายพื้นฐานของการตรวจสอบ’ อาจลดลงจนเกือบเป็น ‘ศูนย์’ เพราะงานที่เคยใช้เวลาหลายสัปดาห์ ตอนนี้ AI สามารถรันให้เสร็จภายในไม่กี่นาที ทำให้โปรเจกต์ขนาดเล็กและขนาดกลางสามารถตรวจสอบความปลอดภัยได้ถี่และรวดเร็วขึ้นมาก
หากเทียบกับเครื่องมืออัตโนมัติแบบเดิมอย่าง ‘fuzzer’ ที่ใช้การยิงอินพุตแบบสุ่มเพื่อหาข้อผิดพลาด AI อย่างมิตอสถูกมองว่า ‘ก้าวไปอีกขั้น’ เพราะไม่ได้มองหาแค่จุดบั๊กแต่จะ ‘พยายามเข้าใจเจตนาของโค้ด’ แล้วเทียบกับการทำงานจริงของสัญญา เออร์เบลิสมองว่า นี่ไม่ใช่แค่การอัปเกรดประสิทธิภาพเล็กน้อย แต่คือ ‘การเปลี่ยนระดับคุณภาพ’ ของการวิเคราะห์ความปลอดภัย เมื่อเครื่องจักรเริ่มขยับจากการ ‘ค้นหาเชิงกล’ ไปสู่การ ‘วิเคราะห์แบบอาศัยการอนุมาน’
ด้านเดวิด ชเวด(David Schwed) ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการของ SVRN ก็เห็นพ้องว่าการเปลี่ยนแปลงครั้งนี้มีนัยสำคัญ เขาบอกว่า “ตอนนี้ AI เริ่มทำตัวเหมือนผู้โจมตีมนุษย์” เพราะสามารถ ‘อ่านสถานการณ์แบบเรียลไทม์’ แล้วตัดสินใจ ‘ก้าวถัดไป’ ได้เอง ต่างจากเครื่องมือรุ่นเก่าที่ทำงานตามกฎตายตัว AI จึงเข้าใกล้การเป็น ‘คู่ต่อสู้จำลอง’ ที่ยืดหยุ่นและปรับตัวได้
จุดที่วงการจับตาเป็นพิเศษคือแนวโน้ม ‘ตรวจสอบอย่างต่อเนื่อง (continuous audit)’ เดิมทีการตรวจสอบความปลอดภัยมักเกิดขึ้นเฉพาะบางช่วงเวลา เช่น ก่อนเปิดตัวโปรเจกต์ หรือก่อนอัปเกรดสัญญา แต่เมื่อ AI ทำให้การตรวจสอบมีราคาถูกลงและทำซ้ำได้ง่าย ก็เปิดทางให้โปรเจกต์สามารถรันการตรวจความปลอดภัยและรับ ‘ข้อเสนอแนะการแก้ไข’ แทบจะตลอดเวลา ชเวดย้ำว่านี่คือ ‘การเปลี่ยนเกม’ ที่แท้จริง เพราะทำให้ต้นทุนการตรวจซ้ำและการปรับปรุงลดลงอย่างมีนัย
‘ความคิดเห็น’
หาก continuous audit กลายเป็นมาตรฐานใหม่ ระดับความคาดหวังเรื่องความปลอดภัยในตลาดคริปโตจะยกระดับขึ้นทันที โปรเจกต์ที่ไม่ตามมาตรฐานอาจถูกมองว่าเพิกเฉยต่อความเสี่ยง
เมื่อการตรวจสอบด้วย AI ถูกลงและเข้าถึงง่าย ผลที่ตามมาคือมาตรฐาน ‘ความรับผิดชอบ’ ของทีมพัฒนาก็จะถูกยกเครื่องไปด้วย เดิมทีการ ‘ข้ามขั้นตอนการตรวจบางส่วน’ ยังพออ้างเรื่องต้นทุนได้ แต่ข้ออ้างนี้เริ่มใช้ไม่ได้ เออร์เบลิสเตือนว่า “ต่อไปแค่มีรายงานจาก AI ว่า ‘ไม่พบปัญหา’ ก็อาจไม่พอสำหรับการปัดความรับผิดชอบ” เพราะจะเกิดคำถามกลับว่า “ในเมื่อมีเครื่องมือราคาถูกให้ใช้ ทำไมถึงไม่รันตรวจสอบเพิ่ม หรือใช้หลายเครื่องมือประกอบกัน”
แนวโน้มนี้อาจส่งผลไปถึงฝั่งนักลงทุนด้วย เพราะก่อนตัดสินใจลงทุนในโปรเจกต์ใด โปรไฟล์การตรวจสอบความปลอดภัยด้วย AI น่าจะกลายเป็นหนึ่งในข้อมูลพื้นฐานที่ต้องถามหา และหากทีมพัฒนา ‘ไม่ยอมใช้’ หรือ ‘ละเลยการตรวจด้วย AI’ ทั้งที่มีเครื่องมือพร้อม ก็อาจถูกตีความได้ว่าเป็น ‘ความประมาทเลินเล่อ’ ในบริบททางกฎหมายหรือด้านการกำกับดูแลในอนาคต
อย่างไรก็ตาม แม้ AI จะเก่งในด้านการตรวจจับบั๊กของโค้ด แต่มุมมองส่วนใหญ่ในวงการยังเห็นตรงกันว่า AI ‘ยังทดแทนมนุษย์ได้ไม่หมด’ โดยเฉพาะในเรื่องโครงสร้างเศรษฐศาสตร์ของโปรโตคอล (tokenomics) การออกแบบแรงจูงใจ และบริบทการใช้งานจริง เออร์เบลิสชี้ว่า ความเสียหายครั้งใหญ่ในวงการมักเกิดจาก ‘เจตนา’ และ ‘แรงจูงใจให้โจมตี’ มากกว่าจะเกิดจากข้อผิดพลาดทางเทคนิคล้วนๆ ซึ่งยังต้องอาศัยการวิเคราะห์เชิงกลยุทธ์ของผู้เชี่ยวชาญมนุษย์
กรณีโจมตีครั้งใหญ่ในช่วงหลังจำนวนมากก็สะท้อนข้อจำกัดนี้ให้เห็นชัด ตัวอย่างเช่น เหตุ ‘Drift’ ที่เป็นผลจากการโจมตีแบบวิศวกรรมสังคมต่อเนื่องยาวนานหลายเดือน ขณะที่กรณี ‘Ronin’ และ ‘Bybit’ ก็มีจุดศูนย์กลางของปัญหาอยู่ที่ ‘การขโมยกุญแจ’ และ ‘การดัดแปลงขั้นตอนอนุมัติ’ มากกว่าจะเป็นบั๊กในสัญญา ชเวดมองว่า ต่อให้เครื่องมือวิเคราะห์โค้ดจะล้ำหน้าแค่ไหน ก็ยากจะป้องกันสถานการณ์ที่ ‘ผู้ถือสิทธิ์ลงนาม’ อนุมัติธุรกรรมที่ผิดพลาดหรือตั้งใจไม่โปร่งใส
ท้ายที่สุด เทคโนโลยีความปลอดภัยด้วย AI อย่างมิตอสอาจไม่ใช่คำตอบของ ‘ทุกปัญหาด้านความปลอดภัย’ แต่กำลังเปลี่ยนทั้ง ‘ต้นทุนการค้นหาช่องโหว่’ และ ‘ระดับความคาดหวังด้านความปลอดภัย’ ของตลาดไปพร้อมกัน ผลที่ตามมาคือมาตรฐานความปลอดภัยของสัญญาอัจฉริยะถูกยกระดับขึ้นอีกขั้น และอาจเป็นจุดเปลี่ยนสำคัญที่ทำให้การตรวจสอบแบบใช้ AI กลายเป็น ‘เงื่อนไขบังคับกลายๆ’ ของโปรเจกต์คริปโตในระยะถัดไป
ความคิดเห็น 0