Từ ngày 26 đến 27 tháng 6, CertiK - công ty an ninh Web3 lớn nhất thế giới - đã xuất hiện tại Tuần lễ Blockchain Istanbul (IBW 2025), Giám đốc Kinh doanh Jason Jiang đã tham dự hai diễn đàn bàn tròn, chia sẻ những quan sát và nhận xét an ninh tiên phong của CertiK trong lĩnh vực hội nhập AI và Web3. Anh đã cùng các chuyên gia như Giám đốc Dịch vụ An ninh Mạng của PwC Thổ Nhĩ Kỳ Nurettin Erginoz, đồng sáng lập Bitlayer Charlie Hu cùng thảo luận về tình trạng ứng dụng và thách thức an ninh của công nghệ AI trong DeFi.
Tại diễn đàn, Jason Jiang chỉ ra rằng với sự phát triển nhanh chóng của mô hình ngôn ngữ lớn (LLM) và các tác nhân AI, một mô hình tài chính hoàn toàn mới - DeFAI (Tài chính Trí tuệ Nhân tạo phi tập trung) đang dần hình thành. Tuy nhiên, sự chuyển đổi này cũng mang lại các mặt tấn công và nguy cơ an ninh mới.
"DeFAI có triển vọng rộng mở, nhưng cũng buộc chúng ta phải xem xét lại cơ chế tin cậy trong các hệ thống phi tập trung," Jason Jiang cho biết: "Khác với các hợp đồng thông minh dựa trên logic cố định, quá trình ra quyết định của các tác nhân AI chịu ảnh hưởng của bối cảnh, thời gian, thậm chí là các tương tác lịch sử. Tính không thể đoán trước này không chỉ làm tăng rủi ro mà còn tạo ra cơ hội cho những kẻ tấn công."
"Tác nhân AI" về bản chất là các thực thể thông minh có thể tự ra quyết định và thực thi dựa trên logic AI, thường được ủy quyền bởi người dùng, giao thức hoặc Các tổ chức tự trị phi tập trung (DAO). Đại diện điển hình nhất là các robot giao dịch AI. Hiện tại, hầu hết các tác nhân AI hoạt động trên kiến trúc Web2, phụ thuộc vào các máy chủ tập trung và API, điều này khiến chúng dễ bị tấn công tiêm nhiễm, thao túng mô hình hoặc thay đổi dữ liệu. Một khi bị chiếm quyền, không chỉ có thể dẫn đến mất tiền mà còn có thể ảnh hưởng đến tính ổn định của toàn bộ giao thức.
Khi chia sẻ các trường hợp tấn công cụ thể, Jason Jiang đã mô tả một tình huống điển hình: Khi một tác nhân giao dịch AI của người dùng DeFi đang theo dõi các thông báo truyền thông xã hội làm tín hiệu giao dịch, kẻ tấn công có thể phát hành cảnh báo giả, chẳng hạn như "Giao thức X bị tấn công", có thể khiến tác nhân đó ngay lập tức bắt đầu thanh lý khẩn cấp. Thao tác này không chỉ dẫn đến mất tài sản của người dùng mà còn gây ra biến động thị trường, từ đó bị kẻ tấn công tận dụng thông qua Chạy trước.
Jason Jiang cho rằng, an ninh của tác nhân AI không nên do một bên đảm nhiệm, mà là trách nhiệm chung của người dùng, nhà phát triển và các tổ chức an ninh bên thứ ba.
Đầu tiên, người dùng cần rõ ràng về phạm vi quyền mà tác nhân sở hữu, cấp quyền một cách thận trọng và chú ý kiểm tra các hoạt động rủi ro cao của tác nhân AI. Thứ hai, các nhà phát triển nên triển khai các biện pháp phòng thủ ngay từ giai đoạn thiết kế, chẳng hạn như: tăng cường lời nhắc, cách ly sandbox, giới hạn tỷ lệ và logic quay lại, v.v. Còn các công ty an ninh bên thứ ba như CertiK thì nên cung cấp đánh giá độc lập về hành vi mô hình, cơ sở hạ tầng và phương thức tích hợp chuỗi của tác nhân AI, đồng thời hợp tác với các nhà phát triển và người dùng để xác định rủi ro và đưa ra các biện pháp giảm thiểu.
Jason Jiang cảnh báo: "Nếu tiếp tục coi tác nhân AI như một 'hộp đen', việc xảy ra sự cố an ninh trong thế giới thực chỉ là vấn đề thời gian."
Đối với các nhà phát triển đang khám phá hướng DeFAI, lời khuyên của Jason Jiang là: "Giống như các hợp đồng thông minh, logic hành vi của tác nhân AI cũng được thực hiện bằng mã. Bởi vì đó là mã, nên có khả năng bị tấn công, do đó cần phải tiến hành kiểm toán an ninh chuyên nghiệp và thử nghiệm xâm nhập."
