Виталик Бутерин считает, что ИИ может укрепить крипто-безопасность

Виталик Бутерин, сооснователь Ethereum, ответил на растущие опасения о том, что поиск уязвимостей с помощью ИИ перегрузит разработчиков и создаст непрекращающиеся возможности для эксплойтов в блокчейнах.

По его словам, в ближайшем будущем использование этой технологии может на самом деле сделать крипто-системы более защищёнными. Он утверждает, что формальная верификация с помощью ИИ может стать одной из наиболее мощных защит от сбоев безопасности в крипто- и интернет-инфраструктуре.

ИИ может укрепить безопасность, а не разрушить её

Формальная верификация — это практика написания математических доказательств о программном обеспечении, которые компьютер может автоматически проверить, вместо того чтобы их проверяли люди. Эта концепция существует уже несколько десятилетий, однако она так и не получила широкого распространения, поскольку создание таких доказательств вручную было достаточно трудоёмким для разработчиков программного обеспечения, и многие из них так и не занялись этим.

Теперь Бутерин говорит, что ИИ изменил это уравнение: вместо того чтобы разработчики сами писали доказательства, они могут попросить ИИ написать как код, так и сопроводительные доказательства. После этого им остаётся лишь убедиться, что итоговое доказанное утверждение действительно соответствует тому, что они хотели доказать.

Разработчик описал сценарий, при котором модели ИИ становятся достаточно мощными для автоматизации поиска уязвимостей в существующем коде, и затем задался вопросом: что это будет означать для систем, где единственная ошибка может стоить пользователям всего?

Его ответ состоял в том, что формальная верификация, выполненная сквозным образом, позволяет математически доказать, что фрагмент кода ведёт себя именно так, как задумано, — и тогда достаточно мощный ИИ, ищущий уязвимости, будет иметь дело с кодом, в котором их наличие уже опровергнуто математически.

Он также указал на конкретные инфраструктурные проекты Ethereum, где этот подход уже применяется. Один из них — Arklib, который стремится к полностью формально верифицированной реализации STARK. Другой — evm-asm, который создаёт EVM, написанную на низкоуровневом ассемблере RISC-V, и верифицирует её корректность на основе человекочитаемой эталонной реализации.

На вопрос о том, какие модели ИИ действительно полезны для этого, Бутерин сказал, что счёл Claude и Deepseek 4 Pro достаточными для написания доказательств на Lean.

Он также отметил Leanstral — небольшую модель с открытыми весами, дообученную специально для Lean, — как способную работать локально и превосходить значительно более крупные модели общего назначения на тестах формальной верификации.

Но есть ограничения

Несмотря на энтузиазм в отношении формальной верификации, Бутерин также посвятил значительную часть своего эссе объяснению того, как она терпела неудачу на практике.

Это включает ошибки в верифицированных компиляторах; библиотеки, где лишь часть кода была доказана, а недоказанные части оказались проблемой; и спецификации, которые были технически доказаны, но просто не отражали того, что разработчик действительно хотел гарантировать.

Тем не менее его общая позиция состоит в том, что формальная верификация — это не замена всем практикам безопасности, а один мощный инструмент в рамках долгосрочной тенденции к сокращению числа ошибок на строку кода.

Контекст здесь важен: в день публикации поста Бутерина криптосектор переживал последствия третьего крупного эксплойта за четыре дня — хакер вывел криптовалюту на сумму более 76 000 000 $ через Кросс-чейн-мост протокола Echo.

Несколькими днями ранее появились сообщения о взломе THORChain, который обошёлся платформе более чем в 10 000 000 $.

После этого последовала ещё одна атака — на Verus-Ethereum Bridge, в ходе которой хакер воспользовался отсутствием проверки валидации и похитил 11 580 000 $. Именно такого рода конкретную, локализованную уязвимость могла бы обнаружить проверка с помощью формального доказательства.

Материал Виталик Бутерин считает, что ИИ может укрепить безопасность в крипто впервые опубликован на CryptoPotato.