AI 讓資安攻防
變成誰先找到漏洞
a16z crypto 這集討論 DeFi 攻擊潮。結論不是「AI 讓世界突然不安全」,而是漏洞本來就在那裡。AI 把攻擊者與防守者找漏洞的速度都拉高了。
SCROLL
a16z crypto 這集討論 DeFi 攻擊潮。結論不是「AI 讓世界突然不安全」,而是漏洞本來就在那裡。AI 把攻擊者與防守者找漏洞的速度都拉高了。
影片開場談到 4 月 DeFi 攻擊暴增,單月損失約 6.35 億美元。主持人問的是:為什麼現在?是不是 AI 讓攻擊變得容易?
Eddie Lazarin 的回答很硬:AI 會幫攻擊者找漏洞,但漏洞不是 AI 創造的。它早就存在。真正的差別,是攻擊者可能比防守者更快採用 AI,先把原本藏在系統裡的問題找出來。
所以防守方不該把 AI 視為純粹威脅,而要把它當成紅隊工具。最直接的策略是用最強的模型、最新的工具、最懂系統的人,先把自己的產品從每個角度攻擊一遍。
這個判斷把恐懼換成可執行的工作。問題不是「壞人會不會拿到 AI」,因為遲早會。問題是公司、協議與使用者能不能更早用同一批工具,把漏洞從生產環境裡移除。
Matt Gleason 不把 AI 類比成火砲或新武器。他說,AI 更像從火把換成探照燈。人類還是用相同方式攻擊系統,但現在能看見更多路徑、讀更多紀錄、串更多線索,速度也更快。
這個比喻很適合 crypto。鏈上金融本來就把資產、權限與交易流程放到公開環境裡。探照燈一打,大家不只看見攻擊,也看見攻擊造成的金額。傳統公司被入侵時,損害常常藏在內部報告、合約與公關聲明裡;DeFi 一出事,資金流直接攤在鏈上。
這不是類別變化,而是強度變化。攻擊和防守都被加速。對商業策略來說,這代表安全不再是上線前的一次性稽核,而是持續把自己當成目標來測試。
影片特別提醒,最近許多 crypto 攻擊看起來是 DeFi 的問題,但細看常常是傳統資安問題:金鑰被偷、電腦被入侵、權限過大、程式在不該執行的地方被執行。
Lazarin 的判斷是,許多案例本來可以靠更多去中心化降低傷害。問題不是去中心化本身,而是系統「以為自己去中心化」,實際上仍有某個人、某台機器、某組金鑰可以單方面造成災難。
這裡連到 crypto 的核心承諾:自我保管與開放金融很強大,但權力越大,控制設計越不能靠單一人或單一憑證。AI 只會讓這件事更明顯。
影片標題是資安,但它背後其實是基礎設施問題。當 crypto 從投機市場走向支付、穩定幣、代幣化資產與 AI 代理人,攻擊不只會偷走某個協議的錢,也會破壞使用者對整個結算層的信任。
穩定幣的商業價值來自可程式化、即時結算與跨平台流動。這些優點也讓錯誤執行得很快。金融基礎設施要被企業、商家與 AI 代理人使用,不能只說「鏈上透明」。它還要證明權限設計、金鑰管理與事故回應都經得起持續攻擊。
這也是商業策略的分水嶺。未來做 crypto 基礎設施,不只是提供 API、錢包、結算或收益。你賣的是「我的系統比較難被單點打穿,而且我能更快發現自己哪裡會被打穿」。
影片後段把建議分成兩層。對團隊來說,先建立內部紅隊,讓最有權限的人反過來想:如果我的電腦被入侵,我能對公司造成什麼傷害?如果供應商信箱被盜,我們會不會照著假指令做事?
對使用者來說,重點是「認知安全」。不要把釣魚、假連結、假軟體、假客服當成偶發麻煩,而要假設自己隨時可能被接觸。尤其在 crypto 裡,一次錯誤簽署或一次金鑰外洩,常常沒有客服可以幫你倒帶。
這些建議聽起來不炫,卻正是 AI 時代的核心。AI 沒有讓安全規則全部改寫,它讓原本就該做的事變得更急、更便宜,也更難找藉口不做。
AI 沒有讓我們從安全變成不安全。它讓我們發現,自己原本就沒有想像中安全。
先用 AI 找出自己的問題,才有資格期待它沒有先被攻擊者找到。
選完之後,分享你的觀點
這頁整理自 a16z crypto 的 YouTube 影片。原始對話保留了 DeFi 攻擊潮、AI 紅隊、社交工程、passkey 與 crypto 透明性的完整脈絡。
前往 YouTube →喜歡這種分析嗎?
從穩定幣、AI 代理人到平台策略,用台灣讀者看得懂的語言,把複雜的產業變局說清楚。目前已有超過 2 萬位讀者訂閱。
免費訂閱區塊勢 →也可以直接付費支持,解鎖每週完整文章