Hạ giá bảo mật nhưng nâng cao kỳ vọng trách nhiệm
Trí tuệ nhân tạo (AI) và thị trường tài sản mã hóa (crypto) đang bước vào giai đoạn không còn phát triển song song, mà hai lĩnh vực này bắt đầu định hình lẫn nhau ở cả chiều hỗ trợ lẫn chiều rủi ro.
Tâm điểm của sự thay đổi là các công cụ bảo mật dùng AI, tiêu biểu như Mythos – một hệ thống được thiết kế để tự động phát hiện lỗ hổng trong mã nguồn hợp đồng thông minh (smart contract). Trong nhiều năm, kiểm toán bảo mật loại này là “đặc quyền” của các dự án có ngân sách lớn, với chi phí có thể lên tới hàng chục nghìn USD và kéo dài nhiều tuần.
Các chuyên gia bảo mật nhận định, những mô hình như Mythos đang khiến “giá của một cuộc kiểm toán cơ bản tiến gần về 0”, khi công việc từng cần nhiều tuần và chi phí lớn có thể được máy móc xử lý trong thời gian rất ngắn. Điều này mở ra cánh cửa mới cho các dự án nhỏ, vốn trước đây không đủ tiền thuê đơn vị kiểm toán chuyên nghiệp, nay có thể tiếp cận các đánh giá bảo mật tự động, nhanh và rẻ hơn.
Quan trọng hơn, AI không chỉ lặp lại cách làm của các công cụ tự động truyền thống. Trước đây, giới bảo mật thường dựa vào fuzzers - công cụ “ném” hàng loạt dữ liệu đầu vào vào chương trình để xem chỗ nào bị lỗi. Các hệ thống AI thế hệ mới được thiết kế để “suy luận”: hiểu đoạn mã được viết ra với mục đích gì, rồi so sánh với những gì nó thực sự làm. Điều này đặc biệt phù hợp với crypto, nơi mã nguồn thường được công khai, giá trị tài sản cao và ngân sách treo thưởng tìm lỗi (bug bounty) ngày càng lớn.
Tuy nhiên, khi chi phí kiểm toán giảm mạnh, một câu hỏi mới lập tức xuất hiện. Liệu chuẩn mực “thẩm định an toàn tối thiểu” (due diligence - mức độ kiểm tra mà nhà phát triển được kỳ vọng phải làm trước khi triển khai) sẽ thay đổi thế nào?
Một số luật sư và chuyên gia bảo mật cảnh báo rằng, trong bối cảnh công cụ giá rẻ và dễ dùng, lập luận “chúng tôi không làm vì kiểm toán quá đắt và phức tạp” sẽ khó còn được chấp nhận. Thậm chí, một nguyên đơn trong tranh chấp có thể lập luận ngược lại: công cụ đã tồn tại, rẻ, dự án biết hoặc phải biết, nhưng vẫn không dùng để phát hiện lỗi.
Dù vậy, chính các chuyên gia bảo mật cũng nhấn mạnh AI chưa thể thay thế vai trò con người. Những vụ mất mát lớn nhất trong lịch sử crypto nhiều khi không xuất phát từ lỗi code thuần túy, mà từ thiết kế kinh tế sai lệch, các cơ chế khuyến khích (incentives) bị lợi dụng hoặc tấn công kỹ thuật xã hội (social engineering).
“Những lỗ hổng làm ‘chảy máu’ tài sản thường được lên kế hoạch với mục đích cụ thể", một chuyên gia nhận định và nhấn mạnh “những thứ đó vẫn cần một người có kinh nghiệm thực sự để giải quyết”.
Một cảnh báo khác được đưa ra là việc “giao trọn niềm tin” cho AI cũng có thể tạo ra cảm giác an toàn giả. Câu chuyện kiểu “AI ơi, hãy kiểm toán hợp đồng của tôi và đừng mắc sai lầm” không thể thay thế một chương trình bảo mật bài bản, bởi nếu người vận hành công cụ không hiểu cách đọc kết quả, thì thứ họ mua được không phải là an toàn, mà chỉ là ảo giác.
Vũ khí của cả kẻ tấn công lẫn người phòng thủ
Ở chiều ngược lại, chính AI cũng đang được nhìn nhận như vũ khí mới trong tay những kẻ tấn công. Điều này khiến cách nhìn về bảo mật crypto dần chuyển dịch, từ tập trung chủ yếu vào hợp đồng thông minh sang một bức tranh rộng hơn bao trùm cả hạ tầng và con người.
Các chuyên gia về rủi ro cho rằng “điểm yếu lớn nhất nằm ở tầng hạ tầng”. Đó là những mảnh ghép ít được chú ý nhưng cực kỳ quan trọng như hệ thống quản lý khóa (key management system - nơi lưu và xử lý khóa mã hóa), dịch vụ ký giao dịch (signing service - nơi thực hiện việc ký xác nhận giao dịch), cầu nối (bridge) giữa các blockchain, mạng oracle (oracle network - hệ thống cung cấp dữ liệu giá, dữ liệu thế giới thực cho hợp đồng thông minh) và các lớp mật mã gắn kết toàn bộ hệ thống lại với nhau. Nhiều thành phần trong số này hiện vẫn nằm ngoài phạm vi của các cuộc kiểm toán truyền thống vốn tập trung vào mã nguồn hợp đồng.
Một số lãnh đạo dự án DeFi như tại Aave cho rằng, ở một góc độ nào đó, DeFi vốn đã “quen” với kịch bản bị tấn công ở tốc độ máy. Hợp đồng thông minh tự động thực thi, cơ chế thanh lý hay điều chỉnh rủi ro cũng hoàn toàn phi tập trung và không cần con người can thiệp tức thời. “Web3 không xa lạ gì với các đối thủ có tiềm lực và động cơ mạnh”, nhà sáng lập Aave nói, và coi AI là “một bước tiến tự nhiên” trong bộ công cụ mà cả kẻ tấn công lẫn người phòng thủ đều có.
Có thể hiểu rằng hệ sinh thái DeFi - vốn được thiết kế để tự động hóa ở “tốc độ máy” - đang ở vị thế tương đối thuận lợi để thích nghi với tấn công do AI hỗ trợ, so với những hệ thống tài chính truyền thống phụ thuộc nhiều vào xử lý thủ công.
Trước áp lực mới, nhiều đơn vị bảo mật như Gauntlet đề xuất phải thay đổi cả mô hình phòng thủ, từ kiểm toán “một lần trước khi triển khai” sang kiểm toán liên tục, mô phỏng liên tục và thiết kế hệ thống với giả định rằng vi phạm chắc chắn sẽ xảy ra. Nói cách khác, AI nén thời gian giữa các bước tấn công, nên hàng rào phòng vệ cũng buộc phải vận hành trên cùng nhịp độ đó.
Ở phía những nhà xây dựng hạ tầng lớn như Uniswap, AI đang dần được đưa vào như một công cụ hỗ trợ thử nghiệm áp lực và kiểm tra độ bền của giao thức trước khi ra mắt. Quan điểm chung là AI nên đóng vai trò “bổ sung, tăng lực” cho đội ngũ bảo mật, chứ không phải thay thế hoàn toàn các kiểm toán viên và chuyên gia rủi ro.
Cuối cùng, cả AI và crypto dường như đang buộc nhau phải trưởng thành nhanh hơn. Crypto mang tới một “phòng thí nghiệm mở” cho AI - nơi mọi lỗi lầm đều được đo bằng tiền thật, trên hệ thống hoạt động 24/7, không có giờ nghỉ. Ngược lại, AI đang ép thị trường tài sản số phải nâng cấp chuẩn bảo mật, tái định nghĩa trách nhiệm của nhà phát triển và buộc các giao thức phải chấp nhận một thực tế mới: bảo mật không còn là mục tiêu “sửa cho hết lỗi rồi thôi”, mà là một quá trình thích nghi liên tục với những lỗ hổng luôn được phát hiện lại và kết hợp theo những cách chưa từng thấy trước đây.
