Jeg er i Buenos Aires akkurat nå på DeFi Security Summit, hvor jeg deltok i et panel om AI- og Web3-sikkerhet sammen med @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock) og @nicowaisman (Xbow). Det som for ikke så lenge siden føltes som en «fjern fremtid» blir nå diskutert som en svært konkret veikart for de kommende årene: både defensive og offensive AI-drevne teknologier vil utvikle seg raskt, spesielt innen sårbarhetsoppdagelse. Alt revisorer gjør i dag manuelt og gjennom et lappeteppe av verktøy, blir gradvis samlet i kraftigere og mer tilgjengelige automatiserte stabler. Det er viktig å se på virkeligheten nøkternt: håpet om at vi pålitelig kan «gjerde ut» modeller fra uønsket bruk er illusorisk. Enhver tilstrekkelig kapabel modell er, per definisjon, dobbeltbruk. Leverandører vil legge til restriksjoner, filtre, retningslinjer – men det er ikke en grunnleggende barriere. Alle med motivasjon og ressurser vil sette opp en selvhostet modell, sette sammen sin egen agentiske stabel og bruke de samme teknologiene uten å bekymre seg for bruksvilkårene. Du kan ikke designe sikkerhet med den forutsetning at angripere ikke vil ha tilgang til disse verktøyene. Økonomien bak angrep er heller langt fra enkel. På kort sikt vil angrepene bli billigere: mer automatisering, mer «storområdebombardement», mer grundig utforskning av tilstander og konfigurasjoner uten mennesker involvert. Men på lang sikt, etter hvert som forsvarspraksis og verktøy tar igjen, vil vellykkede angrep bli dyrere: dekningen vil forbedres, trivielle feil vil forsvinne, og effektive brudd vil kreve seriøs infrastruktur, forberedelser og ekspertise. Dette vil flytte balansen mot færre hendelser — men de som skjer, vil være langt mer komplekse og kostbare. Mitt hovedpoeng: vi må gå gjennom hele sikkerhetslivssyklusen på nytt, ikke bare «kosmetisk forbedre» revisjoner. Hvordan vi beskriver og forstår risikoprofiler, hvordan trusselmodeller utvikler seg med KI i bildet, hvordan vi strukturerer utvikling, gjennomganger, testing, implementering, overvåking på kjeden, hendelsesrespons og etteranalyser – alt dette må tenkes nytt om. Tradisjonelle revisjoner vil forbli en nøkkelkomponent, men de kan ikke lenger være det eneste tyngdepunktet. Realiteten er at AI symmetrisk forsterker både forsvarere og angripere — og Web3-sikkerhet må tilpasse hele sin driftsmodell til dette asymmetriske våpenkappløpet.