บริษัทความปลอดภัย Web3 อย่าง Certik ได้เปลี่ยนเครื่องมือตรวจสอบด้วยปัญญาประดิษฐ์ (AI) ที่พัฒนาขึ้นเอง จากเครื่องมือภายใน ไปเป็นโซลูชันสำหรับสาธารณะ
ประเด็นสำคัญ:
- Certik เปิดตัว AI Auditor ซึ่งเป็นเครื่องมือที่ทำสถิติอัตราการทำได้ 88.6% ในการทดสอบกับเหตุการณ์ความปลอดภัย 35 รายการ
- Ronghui Gu กล่าวว่าเครื่องมือนี้ช่วยผลักดันอุตสาหกรรม Web3 ไปสู่การป้องกันแบบให้สัญญาณสูง (high-signal) และพร้อมทำงานตลอดเวลา สำหรับเวิร์กโฟลว์ในปี 2026
- ต่อจากนี้ Certik จะขยายสถาปัตยกรรม AI แบบแยกส่วน (modular) ไปยังระบบ DeFi และสภาพแวดล้อมของสถาบันที่ต้องการการปฏิบัติตามข้อกำหนดสูง
การทดสอบในโลกความจริง
Certik แพลตฟอร์มความปลอดภัยของ Web3 กล่าวเมื่อวันอังคารที่ 7 เมษายนว่า ได้เปลี่ยนเครื่องตรวจสอบด้วยปัญญาประดิษฐ์ (AI) จากเครื่องมือภายในที่มีประสิทธิภาพสูง ไปสู่โซลูชันสำหรับสาธารณะอย่างเป็นทางการแล้ว การเปิดตัวครั้งนี้ ได้รับแรงหนุนจากการผสานรวมแบบโอเพนซอร์สสำหรับเอเจนต์โค้ดดิ้งด้วย AI ถือเป็นการเปลี่ยนแปลงครั้งสำคัญในโรดแมปด้านความปลอดภัยแบบเริ่มจาก AI ของ Certik จากการตรวจสอบเชิงรับ ไปสู่การป้องกันแบบ “เปิดทำงานตลอดเวลา” (always-on)
ตามแถลงการณ์สื่อ ระบบทำอัตราความแม่นยำแบบ “ตรงเป๊ะ” (exact hit rate) ได้ 88.6% ในการทดสอบย้อนหลัง (backtests) เทียบกับเหตุการณ์ความปลอดภัยสำคัญของ Web3 จำนวน 35 เหตุการณ์ในปีนี้ ระบบสามารถระบุช่องโหว่ที่สำคัญได้ ขณะเดียวกันก็ลด “สัญญาณรบกวน” (noise) ที่มักเกิดกับเครื่องมืออัตโนมัติได้สำเร็จ
“คำถามไม่ได้อยู่ที่ว่า AI จะหาช่องโหว่ได้หรือไม่อีกต่อไป แต่คือ AI สามารถช่วยให้ทีมพัฒนามองเห็นประเด็นด้านความปลอดภัยที่ควรได้รับการจัดการได้จริง ๆ และเร็วขึ้นหรือเปล่า” Ronghui Gu ผู้ร่วมก่อตั้งของ Certik กล่าว “ด้วยการกรองทิ้งบวกปลอมไม่รู้จบ AI Auditor ของเราจึงมอบความชัดเจนแบบสัญญาณสูงและนำไปปฏิบัติได้—เปลี่ยนความปลอดภัยจากคอขวดให้กลายเป็นตัวเร่ง”
ความสามารถแบบสัญญาณรบกวนน้อยของระบบนี้ขับเคลื่อนด้วยสถาปัตยกรรมแบบหลายชั้น โดยเริ่มจาก Multiscanner Framework ต่างจากเครื่องมือที่อาศัยโมเดลเดียว เฟรมเวิร์กนี้จะรันสแกนเนอร์เฉพาะทางแบบขนาน เพื่อขยายขอบเขตการตรวจจับไปตามรูปแบบพื้นผิวการโจมตี (attack vectors) ที่หลากหลาย จากนั้นผลการค้นพบจะถูกประมวลผลด้วยเครื่องมือที่พัฒนาขึ้นเอง ซึ่งทำการ deduplication แบบหลายรอบ และประเมินการแจ้งเตือนสำหรับความถูกต้องเชิงความหมาย (semantic validity) และความเป็นไปได้ในการถูกนำไปใช้โจมตี (exploitability) ด้วยการระงับข้อมูลที่ไม่เกี่ยวข้อง ระบบจึงกำจัดอาการ “alert fatigue” ที่มักทำให้รอบการพัฒนาช้าลงได้อย่างมีประสิทธิภาพ
ความแม่นยำเชิงเทคนิคนี้ได้รับการสนับสนุนโดย Dynamic Knowledge Base ซึ่งเป็นระบบที่รวมฟีดสดของช่องโหว่ที่เกิดขึ้นจริงและรูปแบบการโจมตีที่กำลังเกิดขึ้น แทนที่จะพึ่งพาข้อมูลฝึกสอนแบบคงที่เพียงอย่างเดียว ระบบจะนำเอาข้อมูลเชิงข่าวกรองภัยคุกคามในปัจจุบันมาใช้ในขณะทำการอนุมาน (inference) สิ่งนี้ช่วยให้ AI Auditor ทำหน้าที่เสมือนตัวคูณกำลัง (force multiplier) ให้กับผู้เชี่ยวชาญด้านความปลอดภัย โดยจัดการการตรวจจับระดับพื้นฐานและการคัดกรองก่อนการตรวจสอบ (pre-audit triage) เพื่อให้ผู้เชี่ยวชาญด้านมนุษย์สามารถโฟกัสกับความเสี่ยงที่ซับซ้อนในระดับโปรโตคอลได้
การเปิดตัวครั้งนี้ส่งสัญญาณถึงการเปลี่ยนแปลงที่กว้างขึ้นในอุตสาหกรรมที่มุ่งฝังความปลอดภัยเข้าไปในเวิร์กโฟลว์ของนักพัฒนาโดยตรง ดีไซน์แบบแยกส่วนช่วยให้ปรับแต่งได้อย่างลึกซึ้งทั้งสำหรับโปรเจกต์การเงินกระจายอำนาจ (DeFi) ที่เคลื่อนไหวรวดเร็ว และสภาพแวดล้อมของสถาบันที่ต้องมีการปฏิบัติตามข้อกำหนดสูงเช่นกัน
