Skriptidest parvedeni: miks tehisintellekt murrab traditsioonilisi Sybil-rünnakute vastaseid kaitsemeetmeid

Peamised järeldused:

• Paolo D’Amico väidab, et tehisintellekti agendid nihutavad identiteedihalduse järgmise 5 aasta jooksul kesksele kohale.
• Agentkiti ja x402 integreerimine tagab tehingute turvalisuse ühe kinnitatud isiku kohta iga volitatud agendi kohta.
• 2026. aastaks kasutab World ID ZK-krüptograafiat, et peatada botid, nõudes tõendit, et tegemist on uue isikuga.

„Korduvate botide” surm

Aastate jooksul oli võitlus Sybil-rünnakute vastu – kus üks tegutseja loob hulgaliselt võltsidentiteete süsteemi õõnestamiseks – botitaolise käitumise avastamise mäng. Kui tuhat kontot liikusid täiuslikus sünkroonis või kasutasid sama jäika skripti, suutsid turvasüsteemid need kergesti märgistada pahatahtlikena.

Kuid tehisintellekti (AI) integreerimine lammutab põhjalikult need traditsioonilised kaitsemeetmed. Bitcoin.com Newsile antud intervjuus, mis keskendus arenevale ohuolukorrale, kirjeldas Paolo D’Amico, Tools for Humanity vanem tooteinsener, kuidas AI on muutunud tehnilisest tööriistast digitaalsete ründajate jaoks keerukaks „jõu kordajaks”.

Varem nõudis Sybil-rünnaku läbiviimine suurel skaalal märkimisväärseid tehnilisi kulutusi, et tagada „kloonide“ eristuvus. D’Amico sõnul on AI vähendanud seda sisenemistõket, automatiseerides usutavate isikuprofiilide loomise.

„AI muudab selle automatiseerimise nii lihtsamaks rakendada kui ka praktikas veenvamaks,“ märgib D’Amico. „See laiendab ründaja võimet tekitada realistlikku käitumist, kohaneda dünaamiliselt ja mööda hiilida olemasolevatest turvakontrollidest.“

Erinevalt traditsioonilistest botidest, mis järgivad staatilist koodi, suudavad AI-põhised agendid luua unikaalseid sotsiaalmeedia postitusi, osaleda mitmesugustes on-chain-tehingutes ja jäljendada inimese ajastuse „kõikumist“. See dünaamiline kohanemine muudab vanadele turvasüsteemidele peaaegu võimatuks tuvastada kontode klastrit, mida kontrollib üksainus üksus.

Võib-olla kõige olulisem muutus, mida D’Amico välja toob, on põhjalik muutus selles, kuidas me automatiseeritud liiklust tajume. Ajalooliselt tegutsesid turvateenistused lihtsa kriteeriumi alusel: automatiseeritud liiklus on halb; inimeste liiklus on hea. Kuid kui me liigume detsentraliseeritud AI-agentide ajastusse, kes täidavad seaduslikke ülesandeid, siis see binaarsus laguneb.

„Agendid pakuvad uut liidest veebis suhtlemiseks, mis muudab kahjuliku automatiseerimise eristamise õiguspärasest või soovitud automatiseeritud tegevusest raskemaks,” selgitab D’Amico. „Selle tulemusena peavad veebisaidid nüüd kohandama oma kaitsemeetmeid maailmaga, kus automatiseerimine ise ei ole enam usaldusväärne kuritarvitamise märk.”

Kas CAPTCHA on surnud?

Kui tehisintellekt suudab lahendada mõistatusi ja jäljendada inimeste veebikasutuse mustreid, tekib küsimus: kas traditsiooniline CAPTCHA on surnud? D’Amico sõnul ei kao need vahendid tingimata, kuid nad läbivad radikaalse arengu.
Lihtsatele mõistatustele tuginemine on muutumas mänguks, milles tehisintellekt üha enam võidab. Selle asemel peavad tugevad lahendused liikuma selles suunas, et esindada inimest digitaalses maailmas põhimõtteliselt paremini. D’Amico viitab tekkivatele standarditele, nagu need, mis pärinevad Privacy Passi töörühmalt, kui pilguheidule tulevikku, kus „inimese osalusega“ tegevusi kontrollitakse sügavama tehnoloogilise kihi kaudu.

Autonoomsete agentide Sybil-parve ohu vastu võitlemiseks on tekkimas uus infrastruktuur, mis seab esikohale kontrollitud unikaalsuse. Üks selline lahendus on Agentkit, World ID Protocolil põhinev SDK.

Agentkiti integreerimise abil saavad veebisaidid piirata või kontrollida juurdepääsu sisule World ID-autentimisandmetele kehtestatud reeglite alusel. Kõige otsesem rakendus on unikaalsetel inimestel põhinev kiiruspiirang. Näiteks võiks platvorm lubada igal kinnitatud isikul teha kindla arvu päringuid kindla ajavahemiku jooksul, neutraliseerides tõhusalt masstootmise teel loodud botikontode eelise.
D’Amico sõnul lisab World ID turvataseme, kus Sybil-rünnakute laiendamine muutub oluliselt raskemaks. Selles ökosüsteemis ei saa ründaja enam uut identiteeti lihtsalt uue e-posti aadressi või telefoninumbri esitamisega. Süsteemi jaoks peate olema uus isik. Seda muutust toetab Orb – keerukas usaldusväärne riistvara – ja nullteadmise (ZK) krüptograafia kasutamine, mis tagab unikaalsuse kontrollimise ilma isiklikku privaatsust ohustamata.

Autonoomsete agentide majanduse kasvades nihkub väljakutse pelgalt identifitseerimiselt autoriseerimisele. Uued protokollid, nagu x402, võimaldavad agentidel veebiressursse otse maksta. Siiski jääb kriitiline turvaküsimus: kuidas me teame, et agent kulutab inimese nimel, mitte ei tegutse pahatahtliku skriptina?

Regulatiivne horisont: privaatsus kui alus

D’Amico selgitab, et x402 ja Agentkiti integreerimine pakub digitaalajastule „volituse” mudelit. Kui x402 haldab maksemehhanismi, siis Agentkit kontrollib taotluse taga olevat volitust.

„AgentKiti kaudu saab kasutaja delegeerida oma inimese tõendamise agendile,“ ütleb D’Amico. „Selles mudelis võib World ID-l olla mitu volitatud võtit, millega on lubatud tõendeid genereerida. Üks võti kuulub kasutaja seadmele ja kasutaja saab AgentKiti kaudu volitada ka agendi võtit.“

See tähendab, et kui agent teeb makse x402 kaudu, sisaldab see krüptograafilist allkirja, mis tõendab, et see on selgesõnaliselt volitatud kinnitatud inimese poolt. Oluline on, et see volitus on piiratud: agent võib tegutseda talle antud volituste piires, kuid ta ei saa muuta kasutaja World ID-d ega võtta identiteedi üle laiemat kontrolli.
Kuna need tehnoloogiad laiendavad digitaalse identiteedi piire, ei eksisteeri need vaakumis. Innovatsiooni edasine tee on tihedalt seotud globaalse regulatsiooni muutuvate tingimustega. D’Amico ei vaata regulatiivse raamistiku arengut takistusena, vaid tehnoloogilise kasvu olulise kaaslasena.
"Kuna tehisintellekt areneb edasi, ootame, et identiteedi ja privaatsusega seotud regulatiivsed raamistikud arenevad koos tehnoloogiaga," märgib D’Amico. "Need edusammud kujundavad maastiku ümber, avades uusi võimalusi, kuid toovad kaasa ka uusi riske ja rünnakuvektoreid."

Vaadates järgmisele viiele aastale, prognoosib D’Amico, et identiteedihaldus muutub perifeersest turvaelemendist interneti keskseks sambaks. „Tehisintellekti-põhises“ maailmas peab identiteedi määratlus laienema, hõlmates nii loojat kui ka esindajat.

„Inimeste jaoks tähendab see tugevamaid kontrollitavaid usaldusankruid, mis võimaldavad identiteedil jääda usaldusväärseks esinduseks reaalsest inimesest veebis,“ ennustab D’Amico. „Samal ajal ootan, et autonoomsete agentide identiteediraamistikud muutuvad olulisemaks.“

Kui agendid hakkavad finantssüsteemide ja platvormidega sisukamalt suhtlema, vajab tööstus selgemaid viise, et kontrollida, keda või mida nad esindavad, milline on nende volituste ulatus ja kas nad tegutsevad reaalset kasutajat esindades.