สแปม AI บีบให้โปรแกรมแจ้งช่องโหว่ล้นเกิน ทำให้ความเสี่ยงด้านความปลอดภัยของคริปโตเปิดเผย

ปัญญาประดิษฐ์กำลังท่วมท้นโปรแกรมแจ้งเบาะแสช่องโหว่ด้วยรายงานที่ไร้คุณภาพ — และบริษัทคริปโตกำลังตกอยู่ในจุดกึ่งกลางของปัญหานี้ บริษัทและโครงการโอเพ่นซอร์สที่พึ่งพาการค้นหาช่องโหว่จากชุมชนกำลังถูกท่วมด้วยรายงานที่สร้างโดยปัญญาประดิษฐ์จำนวนมาก ซึ่งส่วนใหญ่เป็นข้อมูลเท็จ หลอกลวง หรือไม่มีความพยายามในการวิเคราะห์ รายงานจาก Financial Times ระบุว่าทีมรักษาความปลอดภัยใช้เวลามากกว่าเดิมในการกรองรายงานขยะมากกว่าการแก้ไขช่องโหว่ที่แท้จริง ทำให้องค์กรบางแห่งต้องระงับหรือทบทวนโปรแกรมรางวัลแจ้งเบาะแสสาธารณะ เหตุใดจึงสำคัญต่อคริปโต: โปรแกรมแจ้งเบาะแสช่องโหว่เป็นเกราะป้องกันชั้นแรกสำหรับแพลตฟอร์มแลกเปลี่ยน วอลเล็ต แพลตฟอร์มสัญญาอัจฉริยะ และโครงสร้างพื้นฐานคริปโตอื่นๆ ในปี 2025 เพียงปีเดียว บริษัทต่างๆ เช่น Meta, Microsoft, Apple และ Crypto.com ได้จ่ายเงินอย่างน้อย 58 ล้านดอลลาร์สหรัฐให้กับนักวิจัยที่เปิดเผยช่องโหว่อย่างรับผิดชอบ หากโปรแกรมรางวัลแจ้งเบาะแสกลายเป็นสับสนหรือล่มเพราะสแปม ช่องว่างความเสี่ยงสำหรับช่องโหว่สำคัญบนบล็อกเชนและการจัดเก็บทรัพย์สินจะขยายตัว — ซึ่งเป็นภัยคุกคามร้ายแรงต่อเงินทุนและผู้ใช้งาน สาเหตุที่ทำให้เกิดการไหลบ่า: ปัญญาประดิษฐ์แบบสร้างเนื้อหา (generative AI) ทำให้สามารถผลิตรายงานช่องโหว่จำนวนมากในราคาถูกและรวดเร็ว แพลตฟอร์ม Bugcrowd ซึ่งมีลูกค้ารวมถึง OpenAI ระบุว่าจำนวนรายงานที่ส่งผ่านบริการของพวกเขาเพิ่มขึ้นมากกว่าสี่เท่าภายในสามสัปดาห์ในเดือนมีนาคม — และส่วนใหญ่เป็นรายงานปลอม ผลที่ตามมาคือองค์กรบางแห่งเริ่มลดขนาดแล้ว ในเดือนเมษายน HackerOne และ Nextcloud ระงับโปรแกรมรางวัลแจ้งเบาะแสแบบจ่ายเงิน; Nextcloud ระบุอย่างชัดเจนว่า “จะไม่มีการมอบรางวัลทางการเงินสำหรับรายงานใดๆ ไม่ว่าจะร้ายแรงเพียงใด” และเพิ่มเติมว่าอุตสาหกรรม “ยังไม่สามารถหาวิธีจัดการกับปริมาณรายงานคุณภาพต่ำที่เพิ่มขึ้นอย่างมหาศาลได้อย่างรับผิดชอบ” “โปรแกรมแจ้งเบาะแสช่องโหว่จะยังคงอยู่ [แต่] จะต้องมีการเปลี่ยนแปลง” Ross McKerchar ซีไอโซของ Sophos กล่าวกับ Financial Times — ซึ่งเป็นมุมมองที่ทีมรักษาความปลอดภัยหลายแห่งเริ่มเห็นพ้องต้องกันมากขึ้น โดยต้องการวิธีใหม่ในการแยกแยะข้อมูลที่มีคุณค่าออกจากเสียงรบกวนที่สร้างโดยปัญญาประดิษฐ์ ในขณะเดียวกัน ปัญญาประดิษฐ์ก็กำลังพัฒนาทั้งด้านการโจมตีและป้องกันความปลอดภัย Anthropic เปิดเผยโมเดลเฉพาะทางไซเบอร์ชื่อ Mythos ในเดือนมีนาคม ซึ่งบริษัทอ้างว่าสามารถระบุช่องโหว่ได้เร็วกว่ามนุษย์ การเข้าถึงในขณะนี้จำกัดเฉพาะบริษัทเทคโนโลยีขนาดใหญ่ บริษัทด้านความปลอดภัย และรัฐบาล การทดสอบภายในรายงานว่า Mythos (เรียกว่า Claude Mythos) สามารถระบุช่องโหว่ 271 รายการใน Mozilla Firefox และเวอร์ชันทดลองได้ถูกเชื่อมโยงกับการพัฒนา exploit สำหรับชิป M5 ของ Apple ผู้สังเกตการณ์ตลาดบน Myriad ซึ่งเป็นตลาดพยากรณ์ที่ดำเนินการโดย Dastan พื้นฐานของ Decrypt ให้โอกาสเพียง 18% ที่ Claude Mythos จะเปิดให้สาธารณชนเข้าถึงภายในสิ้นเดือนมิถุนายน — บ่งชี้ว่าการเข้าถึงแบบกว้างขวางอาจยังคงถูกจำกัดในขณะนี้ สิ่งที่หมายถึงและอุตสาหกรรมอาจตอบสนองอย่างไร - ในระยะสั้น: คาดว่าจะมีการระงับโปรแกรมแจ้งเบาะแสมากขึ้น การเปิดรับเฉพาะผู้เชี่ยวชาญที่ได้รับการเชิญหรือผ่านการตรวจสอบ และความล่าช้าในการกรองรายงานเพิ่มขึ้น บริษัทคริปโตที่พึ่งพาการค้นหาช่องโหว่จากชุมชนสาธารณะจะได้รับผลกระทบมากเป็นพิเศษ - ในระยะกลาง: ทีมรักษาความปลอดภัยน่าจะใช้ตัวกรองรายงานที่เข้มงวดขึ้น การให้รางวัลตามชื่อเสียง และเครื่องมือช่วยกรองด้วยปัญญาประดิษฐ์เพื่อกรองรายงานคุณภาพต่ำอัตโนมัติ - ในระยะยาว: การผสมผสานแบบไฮบริด — รวมถึงผู้ตรวจสอบมนุษย์ สวนผู้เชี่ยวชาญที่ผ่านการตรวจสอบ และรางวัลเฉพาะสำหรับเป้าหมายคุณค่าสูง (เช่น การตรวจสอบสัญญาอัจฉริยะ) — อาจกลายเป็นมาตรฐานปกติ สำหรับภาคคริปโต เสียงรบกวนนี้เป็นทางแยก: หากละเลยการตรวจสอบจากสาธารณะจะเสี่ยงอันตราย หรือพัฒนาโปรแกรมรางวัลแจ้งเบาะแสและเครื่องมือให้สามารถต้านทานสแปมที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ ไม่ว่าทางใด องค์กรที่สามารถใช้งานระบบกรองอัจฉริยะและเครือข่ายผู้เชี่ยวชาญที่เชื่อถือได้ จะอยู่ในตำแหน่งที่ดีกว่าในการรักษาความปลอดภัยของโปรโตคอล วอลเล็ต และแพลตฟอร์มแลกเปลี่ยน ในขณะที่ปัญญาประดิษฐ์แบบสร้างเนื้อหาเปลี่ยนแปลงภูมิทัศน์ของการเปิดเผยช่องโหว่