Préface
Ces dernières années, l'attention du public envers l'intelligence artificielle s'est principalement concentrée sur un axe : quels emplois l'IA remplace-t-elle et quelles nouvelles forces productives va-t-elle créer.
De la génération de texte et de code, à l'assistance à la recherche scientifique et l'automatisation du travail de bureau, l'IA est devenue l'une des variables les plus suivies des derniers cycles technologiques. Cependant, par rapport à l'amélioration des capacités des modèles eux-mêmes, deux événements récents révèlent peut-être une nouvelle tendance plus digne d'intérêt pour l'industrie de la cryptographie – l'IA commence à participer à la découverte de problèmes dans des systèmes complexes.
Il y a peu de temps, Anthropic a publié un article de recherche intitulé « Recursive Self-Improvement (Amélioration récursive de soi-même) », discutant systématiquement de la façon dont l'IA participe progressivement à son propre processus de recherche et développement. De la conception d'expériences et la génération de code, à la détection d'erreurs et l'optimisation des performances, les modèles évoluent d'un simple rôle d'outil vers celui de participants actifs dans le système de R&D. Bien qu'il reste encore un long chemin avant un développement autonome complet de la prochaine génération de modèles, la tendance où l'IA assiste l'IA pour accélérer l'itération commence à apparaître.
Presque au même moment, une autre nouvelle a suscité de vifs débats au sein de la communauté crypto. Claude Opus 4.8, en examinant le code lié à Zcash (ZEC), a découvert une vulnérabilité critique cachée dans le système de preuve à divulgation nulle de connaissance. Par la suite, l'équipe de développement de Zcash et la communauté ont rapidement validé le risque, effectué une mise à jour d'urgence et corrigé la faille, évitant une expansion potentielle de l'impact.
En apparence, ces deux événements relèvent de domaines totalement différents.
Le premier concerne la recherche en IA, discutant de la façon dont les modèles aident d'autres modèles à progresser ; le second relève de la sécurité blockchain, traitant d'une vulnérabilité technique dans un protocole de confidentialité. Mais si l'on étire la ligne du temps et que l'on élargit la perspective d'un événement unique à la direction globale du développement industriel technologique, les deux pointent en réalité vers le même changement :
L'IA commence à participer de plus en plus profondément au processus de compréhension, d'analyse et de validation des systèmes complexes.
Pour l'industrie de la cryptographie, ce changement mérite une attention particulière.
Ces dix dernières années, la manière centrale de l'industrie blockchain pour construire un système de sécurité reposait sur des experts en cryptographie, des chercheurs en sécurité et des organismes d'audit tiers, combinant analyse humaine et outils automatisés pour découvrir les vulnérabilités, valider les risques et effectuer les corrections. Qu'il s'agisse de l'audit de contrats intelligents, de l'évaluation de la sécurité des ponts inter-chaînes, ou de la validation des systèmes de preuve à divulgation nulle, tout repose essentiellement sur l'expérience d'experts humains et sur des outils automatisés limités.
Désormais, une nouvelle capacité entre dans ce système.
L'IA est non seulement capable de lire du code, mais commence également à posséder la capacité de comprendre les relations logiques complexes, de générer des scénarios de test, de localiser des comportements anormaux et même d'aider à valider les vulnérabilités. Pour un système de grande envergure comptant des centaines de milliers, voire des millions de lignes de code, cela signifie qu'une variable centrale dans le domaine de la sécurité est en train de changer – la vitesse de découverte des problèmes.
En effet, la grande majorité des incidents de sécurité majeurs de l'histoire ne découlent pas de l'existence des vulnérabilités elles-mêmes, mais de leur période d'existence trop longue avant d'être découvertes. L'écart entre les attaquants et les défenseurs ne réside souvent pas dans le niveau technique, mais dans qui découvre le risque plus tôt et qui y répond plus rapidement.
Si l'IA aide les chercheurs à découvrir les problèmes cachés avec une efficacité sans précédent, alors ce qu'elle modifie n'est pas seulement l'outil d'audit, mais l'ensemble du mécanisme de découverte des vulnérabilités.
WEEX Labs estime que « l'amélioration récursive de soi-même » proposée par Anthropic n'est peut-être qu'un début. Dans l'industrie crypto, un changement similaire mais aux répercussions plus larges est en train de se produire : le système de sécurité lui-même commence à acquérir une capacité d'évolution continue. À l'avenir, la compétition ne portera peut-être plus sur quel protocole est absolument sûr, mais sur qui peut découvrir les risques plus vite, les valider plus vite et les corriger plus vite.
Sous cet angle, l'importance majeure de la découverte de la vulnérabilité ZEC par Claude ne réside peut-être pas dans la découverte d'une vulnérabilité spécifique, mais dans le fait qu'elle a permis à toute l'industrie d'entrevoir à l'avance les contours d'une nouvelle ère – une « ère de la sécurité récursive » pilotée par l'IA et en évolution continue.
L'IA entre dans son propre cycle d'accélération
Si l'on observe ensemble les révolutions technologiques des deux cents dernières années, on découvre une règle intéressante : chaque fois que les outils de production commencent à participer à la fabrication des outils de production eux-mêmes, la société dans son ensemble connaît souvent un nouveau bond en efficacité.
À l'époque de la révolution industrielle, les machines servaient à fabriquer d'autres machines, libérant ainsi l'industrie manufacturière de la dépendance à la production purement manuelle ; à l'ère d'Internet, les logiciels aident à développer d'autres logiciels, et les infrastructures numériques commencent à se développer à une vitesse sans précédent. Aujourd'hui, un changement similaire apparaît dans le domaine de l'intelligence artificielle – l'IA commence à participer à son propre processus de recherche et développement.
C'est aussi la raison pour laquelle la publication récente par Anthropic de la recherche sur « Recursive Self-Improvement » a suscité des discussions aussi larges au sein de l'industrie.
Au sens littéral, « l'amélioration récursive de soi-même » semble évoquer facilement l'intelligence superpuissante des œuvres de science-fiction : une IA qui s'améliore continuellement, finissant par échapper au contrôle humain. Mais ce n'est pas ce scénario extrême qu'Anthropic discute. La recherche se concentre davantage sur un changement en train de se produire dans le monde réel – l'IA s'intègre progressivement dans la chaîne de R&D et assume de plus en plus de tâches qui nécessitaient auparavant des ingénieurs.
Autrefois, le développement de grands modèles était un processus très dépendant de la main-d'œuvre. Les équipes de recherche devaient concevoir des expériences, écrire du code, analyser les résultats, localiser les erreurs, optimiser les performances et répéter ce cycle sans cesse. Même avec des ressources de calcul suffisantes, l'efficacité de la R&D restait limitée par le temps et les capacités cognitives humaines.
Désormais, la situation est en train de changer.
De la génération de code et des tests automatiques à l'analyse des journaux et la recherche des problèmes, de plus en plus d'étapes de développement sont désormais réalisées avec l'aide de l'IA. Les ingénieurs n'ont plus besoin d'écrire chaque ligne de code à partir de zéro, ni d'analyser ligne par ligne les informations anormales dans des journaux massifs. Le modèle peut traiter rapidement de grands volumes de contexte, suggérer des pistes de problèmes potentielles et générer plusieurs solutions candidates pour que les développeurs les valident. Cela ne signifie pas que l'IA remplace les ingénieurs, mais elle comprime de manière significative les parties les plus chronophages du processus de développement.
La signification de ce changement va bien au-delà d'un simple « gain d'efficacité ».
Depuis longtemps, l'innovation technologique est essentiellement un processus cyclique. Les chercheurs émettent des hypothèses, construisent des expériences pour les vérifier, puis corrigent la direction en fonction des résultats, et entrent dans le cycle suivant. La vitesse de chaque cycle influence directement la vitesse de l'innovation. Et lorsque l'IA commence à participer à ce processus, le cycle lui-même commence également à s'accélérer.
Le temps pour découvrir les problèmes est raccourci, le temps pour les valider est raccourci, et le temps pour les corriger est raccourci. Pris isolément, l'amélioration de chaque étape semble limitée, mais lorsque ces améliorations s'additionnent, l'ensemble du système de R&D produit un effet d'accélération notable.
C'est également le point vraiment digne d'attention derrière la recherche d'Anthropic. Par rapport à l'augmentation du nombre de paramètres du modèle ou l'amélioration des scores aux benchmarks, ce qui est plus important, c'est qu'un nouvel effet de roue de transmission apparaît dans le système de R&D : des modèles plus puissants aident les humains à construire des outils de R&D plus efficaces, et des outils de R&D plus efficaces aident à former des modèles encore plus puissants.
On peut résumer cette boucle par une simple logique :
Une fois cette roue de transmission formée, la vitesse de développement de l'IA ne dépend plus uniquement du nombre de chercheurs, mais commence à être influencée par l'efficacité des retours de l'ensemble du système.
En d'autres termes, l'IA devient progressivement une partie du système de production de connaissances.
Cela a un impact profond sur l'ensemble de l'industrie technologique. Car lorsque l'IA n'est plus seulement un produit fini, mais commence à participer au processus de création des produits, le changement qu'elle apporte passe de l'amélioration d'une capacité ponctuelle à l'amélioration de l'efficacité de l'ensemble de la chaîne industrielle.
L'expérience historique montre que les percées des technologies fondamentales impactent d'abord les industries fortement dépendantes du traitement d'informations complexes. Internet a transformé la finance, les médias et la vente au détail ; le cloud computing a remodelé les logiciels d'entreprise ; et l'impact de l'intelligence artificielle ne se limitera pas aux chatbots ou à la génération de contenu.
En effet, avec l'amélioration continue des capacités de compréhension et de raisonnement des modèles, de plus en plus d'industries nécessitant l'analyse de systèmes complexes deviennent des scénarios d'application importants pour l'IA. Parmi elles, le domaine de la sécurité est peut-être l'une des orientations les plus dignes d'attention.
La raison n'est pas compliquée. Par rapport à la création de nouveaux systèmes, la tâche centrale des travaux de sécurité est en réalité de comprendre les systèmes existants. Qu'il s'agisse de l'audit de code, de l'évaluation des risques, de la détection d'anomalies ou de l'analyse des chemins d'attaque, l'essence est de trouver, dans un vaste ensemble d'informations, les quelques états qui ne correspondent pas aux attentes. C'est un travail typique de reconnaissance de modèles complexes, et la reconnaissance de modèles est justement l'une des capacités les plus maîtrisées par l'IA moderne.
Ces dix dernières années, l'industrie d'Internet a largement utilisé les technologies d'apprentissage automatique pour identifier les spams, les transactions frauduleuses et les comportements d'attaque réseau. Les grands modèles d'aujourd'hui étendent encore cette frontière. Ils sont non seulement capables d'identifier des résultats anormaux, mais peuvent également comprendre, en combinant le contexte, les raisons de ces anomalies, et dans une certaine mesure, prédire les conséquences potentielles des problèmes.
Cela signifie qu'un changement clé est en train d'apparaître : l'IA passe de la « détection d'anomalies » à la « compréhension des anomalies ».
Pour l'industrie de la sécurité, l'importance de ce changement n'est pas inférieure à la naissance des outils d'automatisation. Car ce qui est vraiment difficile n'a jamais été de collecter des données, mais de trouver, dans une masse de données, les problèmes dignes d'attention. Avec la complexité croissante des systèmes, il est de plus en plus difficile pour les experts humains d'accomplir seuls cette tâche, et l'IA devient une force d'assistance nouvelle.
Si la recherche d'Anthropic révèle comment l'IA accélère le développement de l'IA, alors pour l'industrie blockchain, une question plus digne de réflexion est peut-être une autre : lorsque l'IA commence à posséder la capacité de comprendre les systèmes complexes, peut-elle également aider les humains à découvrir plus rapidement les risques cachés dans ces systèmes ?
La réponse à cette question a rapidement obtenu une vérification pratique dans l'industrie crypto.
Et le cas qui a déclenché les discussions dans toute la communauté n'est autre que l'incident de vulnérabilité survenu récemment sur Zcash.
La découverte de la vulnérabilité ZEC par Claude : ce qui compte vraiment, ce n'est pas la faille
Si l'on considère uniquement l'événement en lui-même, l'incident de vulnérabilité Zcash qui a récemment suscité des discussions dans la communauté crypto n'est pas particulièrement complexe.
En analysant le code lié au système Orchard de Zcash, Claude Opus 4.8 a identifié un problème potentiel caché dans la logique de mise en œuvre de la preuve à divulgation nulle de connaissance. Par la suite, l'équipe de développement et les chercheurs en sécurité ont validé le risque, et ont rapidement effectué les corrections et le déploiement de la mise à jour, évitant une aggravation du problème.
Du point de vue traditionnel des incidents de sécurité, cela semble n'être qu'un processus standard de découverte et de correction de vulnérabilité.
Au cours de la dernière décennie, des histoires similaires n'ont pas été rares dans l'industrie crypto. Les organismes d'audit trouvent des problèmes, les hackers éthiques soumettent des vulnérabilités, les projets les corrigent – tout cela fait désormais partie intégrante du système de sécurité de l'industrie.
Mais cette fois, le point focal de la communauté ne se situe pas entièrement sur la vulnérabilité elle-même.
Ce qui a vraiment déclenché les discussions, c'est une autre question :
Si le sujet découvrant les vulnérabilités commence à s'étendre des humains à l'IA, l'ensemble du système de sécurité est-il en train de changer ?
C'est là que réside l'aspect vraiment digne de réflexion de l'événement Zcash.
L'ancien système de sécurité blockchain reposait essentiellement sur l'expérience d'experts humains. Qu'il s'agisse de l'audit de contrats intelligents, de l'évaluation de la sécurité des ponts inter-chaînes, ou de la validation des systèmes de preuve à divulgation nulle, le processus central dépendait des chercheurs lisant le code, comprenant la logique du protocole, construisant des chemins d'attaque et réduisant progressivement le périmètre de risque.
Ce modèle était efficace dans les premières phases de développement de l'industrie.
Cependant, avec l'augmentation constante de la complexité des systèmes, les capacités d'analyse humaine ont commencé à rencontrer des limites de plus en plus marquées.
Les systèmes blockchain d'aujourd'hui dépassent largement le cadre des simples protocoles de transfert. Les réseaux de scaling de Layer2, les protocoles de communication inter-chaînes, les blockchains modulaires et les systèmes de preuve à divulgation nulle superposent constamment de nouvelles couches technologiques, et chaque couche d'abstraction ajoutée signifie l'introduction de nouvelles surfaces de risque dans le système.
Le problème est que la croissance de la complexité dépasse souvent celle des capacités de sécurité.
L'espace d'états potentiel d'un protocole moderne comptant des centaines de milliers de lignes de code dépasse largement ce qu'une seule équipe de recherche peut couvrir complètement. Même les meilleurs organismes d'audit ne peuvent que vérifier les chemins critiques, sans pouvoir épuiser toutes les situations d'interaction possibles.
C'est aussi pourquoi l'industrie de la sécurité fait face depuis longtemps à une contradiction fondamentale :
La complexité des systèmes continue d'augmenter, tandis que le nombre d'experts humains croît de manière limitée.
Sous cet angle, l'importance majeure de la découverte de la vulnérabilité Zcash par Claude ne réside pas dans le fait que l'IA a trouvé un problème spécifique, mais dans le fait qu'elle a démontré une nouvelle capacité de découverte de risques.
Contrairement aux outils traditionnels de scan basés sur des règles, la valeur des grands modèles ne réside pas seulement dans l'exécution de règles prédéfinies, mais dans leur capacité à comprendre les relations contextuelles et à rechercher des anomalies potentielles dans une logique complexe.
Ils peuvent analyser simultanément la mise en œuvre du code, les contraintes du protocole, les chemins d'exécution et la logique de transition d'état, et établir des liens entre plusieurs niveaux.
Cette capacité ne signifie pas nécessairement que l'IA comprend mieux la cryptographie qu'un expert en cryptographie.
Mais elle signifie que l'IA peut effectuer à très faible coût un grand nombre de travaux d'analyse qui nécessitaient auparavant un investissement humain, et aider les chercheurs à localiser plus rapidement les zones dignes d'attention.
En d'autres termes, l'IA est en train de changer une variable clé dans la recherche en sécurité :
Le coût de découverte des risques.
Historiquement, chaque transformation importante de l'industrie de la sécurité provient essentiellement d'une baisse du coût de découverte.
Il en va ainsi pour les outils automatisés de scan de vulnérabilités.
Pour les systèmes de tests d'intégration continue.
Et pour les systèmes de surveillance de sécurité dans le cloud.
Le changement apporté par l'IA pourrait encore accélérer ce processus.
Si autrefois la découverte d'une vulnérabilité complexe prenait des semaines, voire des mois, à l'avenir, ce cycle pourrait être compressé à quelques jours, quelques heures, voire moins.
Pour les attaquants, cela signifie que plus de vulnérabilités seront découvertes.
Pour les défenseurs, cela signifie également que plus de vulnérabilités seront découvertes à l'avance.
Par conséquent, ce que l'IA apporte n'est pas simplement un renforcement de la sécurité, mais une accélération de l'ensemble du mécanisme de découverte des risques.
C'est pourquoi l'événement Zcash mérite d'être observé dans un contexte historique plus large.
Ce n'est pas seulement un cas réussi d'audit assisté par l'IA.
Il ressemble plus à un signal.
Un signal indiquant que l'industrie de la sécurité passe progressivement d'un modèle « piloté par des experts » à un modèle « piloté par la collaboration experts + IA ».
Et lorsque la capacité de découverte des risques commence à obtenir une amélioration exponentielle, une question plus profonde apparaît également :
Si l'IA peut aider continuellement les humains à découvrir des risques, le système de sécurité lui-même entrera-t-il également, comme le système de R&D en IA, dans un état d'évolution continue ?
Cette question est au cœur des discussions de la prochaine étape.
De l'amélioration récursive de soi-même à la sécurité récursive
La question centrale abordée par Anthropic dans « Recursive Self-Improvement » est de savoir comment l'IA participe à son propre processus de R&D et aide l'ensemble du système de R&D à acquérir une capacité d'accélération continue.
En apparence, cela semble être un sujet propre à l'industrie de l'intelligence artificielle, mais si l'on fait une abstraction plus poussée, on constate que ce qui est vraiment important en arrière-plan n'est pas l'IA, mais une nouvelle structure de système.
La caractéristique de cette structure est la suivante : le système commence à participer à son propre processus d'optimisation ; le modèle aide les chercheurs à améliorer l'efficacité de la R&D ; une efficacité de R&D plus élevée aide à former des modèles plus puissants ; ensuite, des modèles plus puissants participent à nouveau au cycle de R&D suivant. L'ensemble du système forme ainsi une boucle de rétroaction en constante répétition. C'est l'essence de « l'amélioration récursive de soi-même » – elle décrit non pas une percée ponctuelle, mais un mécanisme capable de générer continuellement des améliorations.
Et lorsque l'on élargit la perspective du développement de l'IA à la sécurité blockchain, on constate qu'une structure similaire est en train d'apparaître. Les systèmes de sécurité du passé étaient principalement linéaires : un système était développé, puis audité, puis mis en ligne, les problèmes étaient résolus par la suite, et après correction, un nouvel audit était effectué.
L'ensemble du processus était principalement basé sur des contrôles périodiques, les capacités de sécurité provenant principalement de l'expérience des experts et des évaluations cycliques.
Mais avec l'implication croissante de l'IA dans l'analyse des vulnérabilités, cette structure est en train de changer.
De plus en plus de travaux d'identification des risques ne se limitent plus à un moment fixe, mais commencent à devenir une capacité continue dans le processus d'exécution du système.
Le système fonctionne et génère des données, l'IA analyse continuellement ces données et l'état du code, les risques potentiels sont identifiés à l'avance, l'équipe de développement effectue les corrections, et le système mis à jour entre à nouveau dans la boucle d'analyse.
Ce processus présente une structure très similaire à la roue de transmission de la R&D décrite par Anthropic.
La différence réside dans le fait que leurs objectifs d'optimisation ne sont pas les mêmes. Le premier se concentre sur la croissance des capacités, le second sur le contrôle des risques ; le premier cherche à améliorer l'efficacité de la R&D, le second à améliorer l'efficacité de découverte et de correction des risques.
Sous cet angle, « l'amélioration récursive de soi-même » proposée par Anthropic ne s'applique pas seulement au système de R&D de l'IA, elle offre en réalité une nouvelle perspective pour observer l'évolution des systèmes complexes : lorsqu'un système commence à participer continuellement à sa propre optimisation, la boucle de rétroaction devient une force motrice importante pour faire évoluer ce système.
Et dans le domaine de la sécurité blockchain, une structure de rétroaction similaire est en train de se former progressivement.
Le système fonctionne et génère de nouvelles données et changements d'état, l'IA analyse continuellement ces changements, les risques potentiels sont identifiés à l'avance, l'équipe de développement effectue les corrections et optimisations, et le système mis à jour entre à nouveau dans le cycle d'analyse et de validation suivant.
Ce mécanisme cyclique de découverte, correction et validation continue diffère nettement du modèle de sécurité traditionnel.
Pour décrire cette tendance en train d'apparaître, WEEX Labs la nomme :
Recursive Security (Sécurité récursive).
Ici, « récursif » ne signifie pas que le système peut automatiquement éliminer tous les risques, mais que la capacité de sécurité commence à se renforcer elle-même par une rétroaction continue.
En d'autres termes, la sécurité évolue d'un processus de vérification ponctuel vers une capacité système fonctionnant en continu.
Pourquoi la sécurité devient-elle l'industrie que l'IA restructure en premier
Lorsqu'une technologie générale commence à pénétrer le système de production sociale, elle ne transforme généralement pas toutes les industries simultanément.
Historiquement, qu'il s'agisse d'Internet, du cloud computing ou de l'informatique mobile, l'impact structurel se produit d'abord dans certains domaines, avant de se diffuser progressivement vers des secteurs plus larges. Le développement de l'IA suit la même règle.
Une question mérite réflexion : si l'IA possède une applicabilité aussi large, pourquoi l'un des changements les plus marquants ces dernières années apparaît-il d'abord dans le domaine de la sécurité ?
La réponse se cache peut-être dans la nature même du travail de sécurité.
Contrairement à la perception générale, le cœur du travail de sécurité n'est pas de créer de nouveaux systèmes, mais de comprendre les systèmes déjà existants. Qu'il s'agisse de l'audit de code, de l'analyse de vulnérabilités, de la détection d'anomalies ou de la simulation de chemins d'attaque, l'essence est de rechercher, dans un système complexe, les modèles de comportement qui ne correspondent pas aux attentes.
Ce type de travail a une caractéristique commune : il nécessite de traiter une grande quantité d'informations, mais ne recherche que très peu de points anormaux.
Pour les chercheurs humains, c'est une tâche extrêmement fastidieuse. Un protocole de grande envergure peut contenir des centaines de milliers de lignes de code, des centaines de modules et d'innombrables chemins d'interaction potentiels, tandis que les problèmes qui entraînent réellement des risques sont souvent cachés dans une partie infime de cette logique. Les chercheurs doivent passer beaucoup de temps à lire, comprendre, valider et exclure les fausses pistes, avant de pouvoir finalement localiser les problèmes vraiment dignes d'attention.
Et du point de vue du traitement de l'information, cela relève précisément du type de problèmes que l'IA résout le mieux.
Le véritable point fort des grands modèles ne réside pas seulement dans la génération de contenu, mais dans leur capacité à traiter simultanément des contextes massifs et à établir des relations dans des informations complexes. Ils peuvent rapidement comprendre la structure d'un système, suivre les chaînes logiques et rechercher les incohérences potentielles entre plusieurs niveaux.
Pour l'industrie de la sécurité, cela signifie qu'une nouvelle capacité est en train d'apparaître.
Autrefois, le goulot d'étranglement des travaux de sécurité résidait généralement dans l'insuffisance des capacités d'analyse ; à l'avenir, le goulot d'étranglement pourrait progressivement se déplacer vers les capacités de validation et de prise de décision.
En d'autres termes, l'IA réduit le coût de « découverte des problèmes », tandis que les humains se concentrent de plus en plus sur le jugement de savoir si ces problèmes existent réellement, sur leur niveau de risque et sur la manière d'y répondre.
Ce changement est particulièrement visible dans l'industrie blockchain.
Avec le développement continu des Layer2, des architectures modulaires, des protocoles inter-chaînes et des systèmes de preuve à divulgation nulle, les réseaux blockchain ne sont plus de simples programmes sur une seule chaîne, mais des systèmes complexes composés de multiples couches technologiques. Chaque module ajouté renforce les fonctionnalités du système, mais élargit également simultanément la surface d'attaque potentielle.
L'expérience historique montre que la complexité est presque toujours une source de risque.
Plus un système est complexe, plus il est difficile de le valider complètement par des moyens purement humains ; et plus un système est difficile à valider, plus il a besoin de nouveaux outils pour aider les humains à comprendre les risques cachés qu'il contient.
Par conséquent, le fait que l'IA impacte d'abord l'industrie de la sécurité n'est pas un hasard.
Ce n'est pas parce que l'industrie de la sécurité est la plus facile à transformer, mais parce qu'elle a le plus urgent besoin d'un outil capable d'étendre les capacités cognitives. Lorsque la vitesse de croissance de la complexité des systèmes dépasse celle des capacités d'analyse humaine, de nouveaux systèmes d'assistance apparaissent naturellement.
Sous cet angle, l'événement Zcash n'est pas un cas isolé, mais ressemble davantage à un aperçu précoce des tendances futures.
Avec l'amélioration continue des capacités des modèles, l'IA pourrait à l'avenir participer non seulement à la découverte de vulnérabilités, mais aussi à des tâches plus complexes telles que l'évaluation de protocoles, la prédiction des risques, la simulation de chemins d'attaque et la surveillance continue. Cela signifie que le système de sécurité évolue progressivement d'un modèle traditionnel piloté par la main-d'œuvre vers un nouveau système de collaboration composé à la fois d'IA et d'humains.
C'est également dans ce contexte que l'industrie de la sécurité devient l'un des premiers domaines à présenter des caractéristiques d'évolution récursive.
Car, comparée à la création de contenu, à la génération d'images ou à la réponse à des questions, l'essence du travail de sécurité se rapproche davantage de la compréhension de systèmes complexes. Et comprendre les systèmes complexes est précisément la direction dans laquelle les grands modèles, avec l'amélioration continue de leurs capacités, commencent à libérer de la valeur en premier.
Le cycle de vie des vulnérabilités est en train d'être restructuré
Si l'on considère que l'IA est en train de changer l'industrie de la sécurité, alors ce qui change réellement en premier, ce ne sont pas les vulnérabilités elles-mêmes, mais l'ensemble du cycle de vie des vulnérabilités, de leur apparition à leur correction.
Depuis longtemps, l'industrie logicielle suit un processus de sécurité relativement fixe. Après la mise en ligne d'un système, les risques potentiels sont découverts par des audits périodiques, des rapports de vulnérabilités, des retours de la communauté et des analyses de chercheurs en sécurité. Ensuite, l'équipe de développement effectue la validation et les corrections, et résout le problème par des mises à jour de version.
Ce modèle a bien fonctionné ces dernières décennies, mais il est essentiellement un processus linéaire.
La vulnérabilité est découverte, validée, corrigée ; chaque étape a des frontières claires et dépend fortement de la participation humaine. Qu'il s'agisse du cycle d'audit ou de la vitesse de réponse, tout est limité par les ressources humaines et les compétences professionnelles.
Cependant, lorsque l'IA commence à participer à l'analyse de sécurité, cette chaîne linéaire évolue progressivement vers un système de rétroaction en boucle continue.
L'ancien processus de sécurité ressemblait davantage à ceci :
Après le développement, un audit est effectué, le système est mis en ligne, les vulnérabilités sont découvertes pendant son fonctionnement, puis le processus de correction est engagé, et l'on revient finalement à un état stable.
Et avec la participation de l'IA, l'analyse de sécurité ne se limite plus à un moment précis.
Les données générées pendant le fonctionnement du système, les enregistrements de mises à jour du code et les informations sur les changements d'état peuvent être intégrés en continu dans le périmètre d'analyse. La découverte des risques passe d'un acte ponctuel à un processus continu, la vitesse de validation des vulnérabilités s'améliore constamment, et les suggestions de correction peuvent également être générées plus rapidement.
Cela signifie que le système de sécurité commence à posséder une capacité autrefois difficile à réaliser – observer continuellement son propre état.
Dans le modèle traditionnel, une vulnérabilité pouvait exister pendant des mois, voire des années, avant d'être découverte ; dans le modèle de sécurité récursive, le système est toujours dans un état d'analyse, et la période d'exposition au risque est considérablement réduite.
L'importance de ce changement dépasse de loin l'amélioration de l'efficacité de l'audit en elle-même.
Car pour la plupart des incidents de sécurité, ce qui détermine réellement l'ampleur des pertes n'est souvent pas l'existence de la vulnérabilité, mais la durée pendant laquelle elle a existé avant d'être découverte.
Si une vulnérabilité critique nécessite un an pour être découverte, elle dispose de suffisamment de temps pour être exploitée par des attaquants ; en revanche, si la même vulnérabilité est identifiée en quelques jours, voire quelques heures, le niveau de risque change radicalement.
Par conséquent, ce que l'IA modifie, ce ne sont pas seulement les outils de sécurité, mais la dimension temporelle du système de sécurité.
Autrefois, l'industrie recherchait la « découverte de vulnérabilités ».
À l'avenir, l'industrie pourrait s'intéresser davantage à « réduire le temps d'existence des vulnérabilités ».
Cette évolution poussera encore davantage le système de sécurité vers un modèle de surveillance continue.
À l'avenir, un protocole mis en ligne n'entrera pas dans un prétendu « état de sécurité », mais dans un état d'analyse continue. Chaque mise à jour du système, chaque nouveau module, et chaque changement de paramètre clé pourraient déclencher un nouveau processus d'évaluation des risques.
En ce sens, la sécurité ressemblera de plus en plus à une infrastructure fonctionnant en temps réel, plutôt qu'à un travail ponctuel effectué avant la mise en ligne.
Ce changement explique également pourquoi la « sécurité récursive » ne signifie pas la disparition des vulnérabilités.
En effet, aucun système complexe ne peut éliminer complètement les vulnérabilités.
Ce qui change réellement, c'est la relation entre le système et les vulnérabilités.
Autrefois, le système de sécurité réagissait davantage après l'exposition des vulnérabilités ; à l'avenir, le système de sécurité acquiert progressivement la capacité de découvrir de manière proactive, d'analyser continuellement et de fournir des retours rapides.
Lorsque la vitesse de découverte des risques s'améliore continuellement et que le cycle de vie des vulnérabilités se raccourcit constamment, la compréhension de la « sécurité » par l'ensemble de l'industrie changera également.
La sécurité n'est plus seulement une étape à accomplir avant la mise en ligne d'un projet, mais une capacité continue qui traverse tout le cycle de vie du système.
Et c'est précisément le mécanisme sous-jacent par lequel la sécurité récursive commence à fonctionner.
Risques et implications pour l'industrie
Lorsque l'IA commence à pénétrer le système de sécurité, une erreur courante est de penser que les futurs systèmes deviendront par conséquent plus sûrs.
En réalité, les choses ne sont pas si simples.
En regardant l'histoire du développement technologique des dernières décennies, chaque révolution d'outil important a simultanément renforcé les capacités des défenseurs et des attaquants. Internet a réduit le coût d'accès à l'information, mais aussi le coût de propagation des attaques ; le cloud computing a amélioré la capacité d'extension des systèmes, mais a également élargi la portée des attaques. Et le changement apporté par l'IA suit la même règle.
Ce qu'elle améliore, ce n'est pas seulement la capacité de sécurité, mais la capacité de traitement de l'information de l'ensemble du système d'attaque et de défense.
Pour les défenseurs, l'IA peut aider à analyser de grandes quantités de code, découvrir des logiques anormales, construire des scénarios de test et prédire les risques potentiels. De nombreux travaux qui nécessitaient auparavant des semaines à une équipe de sécurité peuvent désormais être pré-triés en un temps beaucoup plus court.
Mais en même temps, les attaquants disposent des mêmes outils technologiques.
Théoriquement, tout modèle qui aide les chercheurs à découvrir des vulnérabilités peut également aider les attaquants à trouver des chemins d'attaque ; toute capacité utilisée pour l'analyse de protocoles peut également être utilisée pour rechercher les points faibles d'un système. L'IA ne se place pas naturellement du côté des défenseurs ; elle augmente simplement l'efficacité avec laquelle les deux parties comprennent les systèmes complexes.
Par conséquent, le changement le plus important de l'industrie de la sécurité à l'avenir n'est peut-être pas la réduction des risques, mais l'accélération de la vitesse d'exposition des risques.
Sous cet angle, les défis de sécurité à l'ère de l'IA peuvent être résumés en quatre dimensions clés.
Premièrement, le risque technologique.
Avec l'amélioration continue des capacités d'analyse de l'IA, de nombreux problèmes historiques et défauts cachés risquent d'être redécouverts. Certains risques qui n'avaient pas été pris en compte auparavant en raison de leur complexité excessive apparaîtront progressivement dans le champ de vision de l'industrie. Cela signifie que dans les prochaines années, le nombre de vulnérabilités que nous verrons ne diminuera pas nécessairement, et pourrait même augmenter de manière temporaire.
Deuxièmement, le risque de complexité.
La direction de développement de l'industrie blockchain augmente constamment la complexité des systèmes. Les architectures modulaires, les communications inter-chaînes, le scaling des Layer2 et les technologies de preuve à divulgation nulle construisent des réseaux d'infrastructure de plus en plus vastes. L'augmentation de la complexité signifie des fonctionnalités renforcées, mais aussi une expansion simultanée de la surface de risque.
Troisièmement, le risque de capacité de réponse.
Si la vitesse de découverte des vulnérabilités continue d'augmenter, tandis que les capacités de gouvernance, de développement et de mise à niveau des projets ne progressent pas au même rythme, de nouveaux goulots d'étranglement apparaîtront. À l'avenir, le facteur clé déterminant le niveau de sécurité pourrait ne plus être la capacité à découvrir les problèmes, mais la capacité à les traiter rapidement.
Enfin, le risque de gouvernance.
Pour les systèmes décentralisés, la résolution des problèmes techniques n'est souvent pas seulement une question d'ingénierie. De nombreuses mises à niveau critiques nécessitent des discussions communautaires, des votes de gouvernance, voire une coordination de l'écosystème. Lorsque l'IA comprime le cycle d'exposition des risques à une échelle de temps plus courte, la capacité du système de gouvernance à suivre la vitesse du changement technologique deviendra un nouveau défi.
Ces risques ne disparaîtront pas automatiquement avec l'apparition de l'IA.
Au contraire, ils sont amplifiés, accélérés et réorganisés.
Mais en même temps, un nouveau paradigme de sécurité est en train de se former.
De plus en plus de projets passent d'un « audit périodique » à une « surveillance continue » ; de plus en plus d'équipes de développement intègrent des outils de validation automatisée, de validation formelle et d'audit assisté par l'IA ; et de plus en plus de travaux de sécurité évoluent également d'une vérification ponctuelle vers un mécanisme de fonctionnement à long terme.
Le cœur de ce changement n'est pas de rendre le système absolument sûr.
Mais de faire de la capacité de gestion des risques une partie intégrante du système lui-même.
Autrefois, le niveau de sécurité d'un projet dépendait souvent du nombre d'audits qu'il avait subis ; à l'avenir, le niveau de sécurité d'un projet dépendra peut-être davantage de sa capacité continue à découvrir les risques, à y répondre et à les corriger.
Pour l'ensemble de l'industrie, cela signifie que la dimension de la compétition est en train de changer.
Les futurs protocoles leaders ne seront pas nécessairement ceux avec le moins de vulnérabilités, mais ceux qui découvrent les risques le plus rapidement, dont l'efficacité de correction est la plus élevée et dont la résilience du système est la plus forte.
Et c'est précisément la direction vers laquelle pointe réellement la sécurité récursive.
Elle ne cherche jamais à éliminer les risques, mais à améliorer continuellement la capacité du système à faire face aux risques.
En conclusion
Si l'on observe ensemble la recherche d'Anthropic sur « l'amélioration récursive de soi-même » et l'incident de vulnérabilité Zcash survenu récemment, on constate que bien qu'ils se produisent dans des domaines différents, ils pointent tous deux vers la même tendance.
L'IA évolue d'un outil vers un participant actif dans le processus de fonctionnement des systèmes complexes.
Dans le domaine de la R&D, elle commence à aider les humains à concevoir des expériences, écrire du code, analyser des résultats et optimiser des modèles ; dans le domaine de la sécurité, elle commence à aider les humains à comprendre les systèmes, découvrir des risques et valider des problèmes.
La signification la plus importante de ce changement ne réside pas dans une percée ponctuelle, mais dans le fait qu'une nouvelle structure de rétroaction est en train de se former.
Le système commence à participer à sa propre optimisation.
La R&D acquiert une capacité d'accélération continue.
La sécurité acquiert une capacité d'évolution continue.
Et lorsque ces deux capacités apparaissent simultanément, l'ensemble de l'industrie technologique entrera dans une nouvelle phase de développement.
Pour l'industrie crypto, ce changement est particulièrement important.
Ces dix dernières années, l'une des questions les plus discutées dans l'industrie a toujours été la sécurité. Qu'il s'agisse de vulnérabilités dans les contrats intelligents, d'attaques sur les ponts inter-chaînes, ou de défauts dans la mise en œuvre cryptographique, tout reflète en essence une réalité : la vitesse de croissance de la complexité des systèmes dépasse souvent la vitesse à laquelle les humains découvrent les risques.
Et l'IA est en train de changer cette relation.
Elle ne peut peut-être pas éliminer les vulnérabilités, ni garantir une sécurité absolue des systèmes, mais elle aide l'industrie à comprendre les systèmes complexes avec une efficacité sans précédent et à réduire le temps entre l'apparition d'un risque et sa découverte.
C'est peut-être l'un des changements les plus dignes d'attention dans les prochaines années.
Car dans un monde numérique de plus en plus complexe, la ressource réellement rare n'est plus seulement la puissance de calcul, les capitaux ou le code, mais la capacité à découvrir les problèmes.
Celui qui peut identifier les risques plus tôt, celui qui peut y répondre plus rapidement, sera celui qui pourra maintenir une plus grande stabilité dans un environnement en constante évolution.
Sous cet angle, la découverte de la vulnérabilité Zcash par Claude n'est peut-être pas un événement isolé.
Elle ressemble davantage à un signal précoce d'un changement d'époque.
Un signal indiquant que l'IA commence à pénétrer le système de sécurité, à participer à la découverte des risques et à remodeler progressivement le mode de fonctionnement de l'industrie.
La sécurité récursive n'est peut-être pas encore un terme largement accepté dans l'industrie, mais le phénomène qu'elle décrit a déjà commencé à apparaître.
Le futur système de sécurité ne sera plus seulement un audit avant mise en ligne, ni seulement une réponse d'urgence après l'apparition d'une vulnérabilité.
Il ressemblera de plus en plus à un système fonctionnant en continu, fournissant des retours constants et évoluant sans cesse.
Et ce que nous observons, c'est peut-être le point de départ de ce processus.
Si vous êtes également intéressé par l'IA × crypto, n'hésitez pas à nous suivre sur WEEX Labs, nous vous offrons chaque jour des informations de pointe sur l'IA !
Débloquez plus de contenu intéressant sur X :@WEEXAILabs Articles de fond sur Medium :@WEEXLabs_cn
