Esperti di sicurezza avvertono: l’intelligenza artificiale avanzata sta per scatenare una crisi di attacchi informatici contro criptovalute e banche

Un difetto grave è stato scoperto nella rete di privacy Zcash, individuato grazie all’uso di intelligenza artificiale: la vulnerabilità, presente per circa quattro anni, avrebbe potuto permettere la creazione illimitata di token contraffatti se non fosse stata corretta. La scoperta, opera del gruppo di sviluppo no-profit Shielded Labs, è avvenuta impiegando il modello Opus 4.8 di Anthropic, recentemente reso disponibile al pubblico.

La rivelazione ha provocato forte allarme nella comunità delle criptovalute e una forte pressione sul prezzo del token di Zcash, che ha segnato un calo vicino al 38% in 24 ore prima della correzione ufficiale. Alcuni commenti sui social hanno addirittura suggerito un cambio radicale di focus dal mondo della crittografia verso il AI.

Come è stata scoperta la falla

Secondo la ricostruzione, Shielded Labs ha impiegato il modello Opus 4.8 per analizzare il codice di implementazione del protocollo di privacy. L’errore risulta essere di logica nell’implementazione e non nella teoria crittografica sottostante: se non fosse stato rilevato, un attaccante avrebbe potuto sfruttarlo per generare token senza limiti.

La squadra di sviluppo di Zcash ha dichiarato che la vulnerabilità è stata corretta e che sono in corso verifiche aggiuntive per assicurare l’assenza di problemi analoghi in altre parti del codice.

Reazioni del settore e ruolo dell’intelligenza artificiale

Il dibattito aperto dalla scoperta si è concentrato sul doppio ruolo del AI: strumento che può individuare difetti nascosti, ma anche tecnologia che può essere impiegata da attori malintenzionati con grande efficienza. Per alcuni investitori e osservatori questo episodio rappresenta un campanello d’allarme sull’affidabilità del software critico.

Haseeb Qureshi, managing partner della società di venture capital Dragonfly, ha scritto:

“Il fatto che l’AI abbia trovato questo bug è positivo: l’AI porterà anche alla soluzione per l’intera categoria, ossia la verifica formale. Sono molto ottimista su questo percorso per rinforzare tutto il software del settore.”

Questa posizione sottolinea l’idea che il rilevamento automatico di vulnerabilità spinga la comunità verso pratiche di sviluppo più rigorose, trasformando una minaccia potenziale in un’opportunità per elevare gli standard di sicurezza.

Ben Goertzel, CEO di SingularityNET, ha aggiunto:

“Il bug specifico non riguarda necessariamente altre criptovalute, ma è molto probabile che sistemi simili contengano vulnerabilità analoghe che gli strumenti di AI scopriranno nelle prossime settimane e mesi. Le infrastrutture software delle banche e di altre istituzioni centralizzate sono anch’esse a rischio di presentare gravi bug che verranno rilevati dall’AI.”

La proposta: verifica formale come soluzione

Di fronte a queste criticità, emerge con forza la proposta di adottare la verifica formale per il codice crittografico e per le infrastrutture software sensibili. La verifica formale consiste nel produrre dimostrazioni matematiche che garantiscano automaticamente determinate proprietà del software, riducendo drasticamente la possibilità di errori di implementazione.

Vitalik Buterin ha spiegato:

“La verifica formale equivale a scrivere dimostrazioni matematiche strutturate in modo che possano essere verificate automaticamente; con l’assistenza dell’AI questo strumento potrebbe diventare fondamentale nella cybersecurity.”

Sostenitori della verifica formale affermano che, per software critico come protocolli di consenso e librerie crittografiche, questa è la via più solida per prevenire errori a livello di implementazione.

Ostacoli tecnici e pratici alla verifica

L’adozione della verifica formale non è immediata: richiede impegno, competenze specialistiche e spesso la riscrittura di componenti esistenti. Ad esempio, molti progetti basati su Rust non sfruttano pienamente tecniche formali perché alcune librerie fondamentali utilizzano costrutti unsafe difficili da verificare senza impatti sulle prestazioni.

Ben Goertzel ha osservato:

“La lingua Rust è verificabile, ma raramente lo si fa a causa del lavoro extra richiesto. Rimettere a norma le librerie per rimuovere gli elementi ‘unsafe’ può rallentare il software; tuttavia tecniche avanzate come la supercompilazione possono aiutare a recuperare le prestazioni.”

In sintesi, la transizione verso un ecosistema software formalmente verificato implica costi iniziali e investimenti in ricerca e formazione, ma offre una via per ridurre in modo sistematico il rischio di bug critici.

La guerra asimmetrica della sicurezza

Oltre alle questioni tecniche, il panorama della difesa è diventato asimmetrico: attaccanti mossi dal profitto possono consumare grandi quantità di risorse di AI per cercare exploit mirati, mentre le società di sicurezza devono proteggere molteplici clienti con risorse distribuite.

Ronghui Gu, CEO e cofondatore della società di sicurezza CertiK, ha commentato:

“Oggi assistiamo a una guerra di consumo di token AI: gli hacker possono consumare enormi quantità di risorse su un singolo obiettivo per trovare un exploit. Le aziende di sicurezza, che devono difendere centinaia di clienti, non possono concentrare le stesse risorse su ogni singolo progetto senza incorrere in costi rilevanti.”

Per mitigare questo rischio, Gu suggerisce di integrare scanner automatici direttamente nei flussi di sviluppo quotidiani, con sessioni on-demand più piccole e frequenti, e di affidarsi a prove matematiche per garantire che i smart contract rispettino proprietà di sicurezza fondamentali.

Conseguenze per il settore e prospettive future

Lo scoppio di questa vicenda riapre il confronto su come bilanciare innovazione e affidabilità nelle tecnologie decentralizzate e nei sistemi finanziari tradizionali. La corsa agli strumenti di AI per la ricerca di vulnerabilità intensificherà probabilmente l’adozione di pratiche di ingegneria del software più rigorose.

Josh Swihart, CEO di ZODL e già alla guida di Electric Coin Company, ha affermato:

“La domanda più interessante è come fare in modo che le vulnerabilità non si ripetano. La risposta migliore è la verifica formale.”

Il messaggio condiviso da molte voci del settore è chiaro: man mano che i modelli di AI diventano più potenti nel trovare catene di debolezze tra sistemi, la comunità tecnologica deve accelerare verso standard che offrano garanzie matematiche e processi di controllo continuo.

Implicazioni per il mondo finanziario tradizionale

Non è solo l’universo delle criptovalute a dover riflettere: esperti avvertono che anche le infrastrutture software delle banche e delle istituzioni centralizzate possono nascondere errori analoghi, difficili da individuare senza strumenti avanzati di analisi. La scoperta di bug tramite AI potrebbe quindi condurre a un riesame più ampio dei sistemi IT finanziari a livello globale.

Per gli operatori e gli investitori italiani ciò significa che la sicurezza del sistema finanziario digitale diventerà sempre più centrale nelle valutazioni di rischio e nelle strategie di investimento, con un aumento della domanda per servizi di auditing formale e per soluzioni cyber-resilienti.

Passi pratici consigliati

Tra le misure suggerite dagli esperti figurano: integrare scanner automatici alimentati dall’AI nei cicli di sviluppo, investire in formazione sulla verifica formale, incentivare la revisione pubblica del codice e destinare risorse a progetti che pongano la sicurezza formale come requisito di base.

Inoltre, per le imprese e i fondi interessati al settore crypto, valutare l’esposizione a protocolli non verificati formalmente e favorire partecipazioni in progetti che adottino pratiche di sicurezza avanzate potrà diventare un criterio importante nella selezione degli investimenti.

In sintesi

• La scoperta del bug in Zcash evidenzia come l’AI possa accelerare l’identificazione di vulnerabilità critiche, incrementando la domanda per tecnologie di sicurezza avanzate.
• Per gli investitori italiani, la maggiore attenzione alla verifica formale potrebbe diventare un fattore di valutazione chiave, premiando progetti con garanzie matematiche sul codice.
• Il rischio asimmetrico creato dall’uso massiccio di risorse di AI da parte degli attaccanti richiede modelli di difesa scalabili e automazione integrata nei flussi di sviluppo.
• Se adottata su larga scala, la verifica formale potrebbe ridurre il premio per il rischio legato a protocolli e infrastrutture digitali, influenzando positivamente la stabilità del mercato nel medio termine.