Saya berada di Buenos Aires saat ini di DeFi Security Summit, di mana saya bergabung dengan panel tentang keamanan AI dan Web3 bersama dengan @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock), dan @nicowaisman (Xbow). Apa yang belum lama ini terasa seperti "masa depan yang jauh" sekarang sedang dibahas sebagai peta jalan yang sangat konkret untuk tahun-tahun mendatang: teknologi bertenaga AI defensif dan ofensif akan berkembang pesat, terutama dalam penemuan kerentanan. Semua yang dilakukan auditor saat ini secara manual dan melalui tambal sulam alat secara bertahap dibundel menjadi tumpukan otomatis yang lebih kuat dan dapat diakses. Penting untuk melihat kenyataan dengan bijaksana: harapan bahwa kita dapat dengan andal "memagari" model dari penggunaan yang tidak diinginkan adalah ilusi. Setiap model yang cukup mampu, menurut definisi, adalah penggunaan ganda. Penyedia akan menambahkan batasan, filter, kebijakan — tetapi itu bukan penghalang mendasar. Siapa pun yang memiliki motivasi dan sumber daya akan membuat model yang dihosting sendiri, merakit tumpukan agen mereka sendiri, dan menggunakan teknologi yang sama tanpa mengkhawatirkan ToS. Anda tidak dapat merancang keamanan dengan asumsi bahwa penyerang tidak akan memiliki akses ke alat ini. Ekonomi serangan juga jauh dari mudah. Dalam jangka pendek, serangan akan menjadi lebih murah: lebih banyak otomatisasi, lebih banyak "pemboman area luas", eksplorasi negara dan konfigurasi yang lebih menyeluruh tanpa manusia dalam lingkaran. Tetapi dalam jangka panjang, ketika praktik dan alat defensif mengejar ketinggalan, serangan yang berhasil akan menjadi lebih mahal: cakupan akan meningkat, bug sepele akan hilang, dan pelanggaran yang efektif akan membutuhkan infrastruktur, persiapan, dan keahlian yang serius. Ini akan menggeser keseimbangan ke arah lebih sedikit insiden - tetapi insiden yang terjadi akan jauh lebih kompleks dan mahal. Kesimpulan utama saya: kita harus meninjau kembali seluruh siklus hidup keamanan, bukan hanya audit "meningkatkan secara kosmetik". Bagaimana kami mendeskripsikan dan memahami profil risiko, bagaimana model ancaman berkembang dengan AI dalam gambar, bagaimana kami menyusun pengembangan, tinjauan, pengujian, penerapan, pemantauan on-chain, respons insiden, dan post-mortem — semua ini perlu dipikirkan ulang. Audit tradisional akan tetap menjadi bagian kunci, tetapi tidak bisa lagi menjadi satu-satunya pusat gravitasi. Kenyataannya adalah bahwa AI secara simetris memperkuat pembela dan penyerang — dan keamanan Web3 harus menyesuaikan seluruh model operasinya dengan perlombaan senjata asimetris ini.