Ik ben momenteel in Buenos Aires op de DeFi Security Summit, waar ik deel uitmaakte van een panel over AI en Web3-beveiliging samen met @blocksec (EigenLabs), @ChanniGreenwall (Olympix), @jack__sanford (Sherlock) en @nicowaisman (Xbow). Wat niet zo lang geleden nog als een "verre toekomst" aanvoelde, wordt nu besproken als een zeer concrete roadmap voor de komende jaren: zowel defensieve als offensieve AI-gestuurde technologieën zullen snel vooruitgang boeken, vooral op het gebied van kwetsbaarheidsontdekking. Alles wat auditors vandaag de dag handmatig doen en via een lappendeken van tools, wordt geleidelijk samengebundeld in krachtigere en toegankelijkere geautomatiseerde stacks. Het is belangrijk om de realiteit nuchter te bekijken: de hoop dat we modellen betrouwbaar kunnen "afschermen" van ongewenst gebruik is illusoir. Elk voldoende capabel model is per definitie dual-use. Leveranciers zullen beperkingen, filters en beleid toevoegen — maar dat is geen fundamentele barrière. Iedereen met motivatie en middelen zal een zelf-gehost model opzetten, hun eigen agentische stack samenstellen en dezelfde technologieën gebruiken zonder zich zorgen te maken over de ToS. Je kunt geen beveiliging ontwerpen onder de veronderstelling dat aanvallers geen toegang tot deze tools zullen hebben. De economie van aanvallen is ook verre van eenvoudig. Op de korte termijn zullen aanvallen goedkoper worden: meer automatisering, meer "breedte-bombardementen", meer uitputtende verkenning van toestanden en configuraties zonder mensen in de lus. Maar op de lange termijn, naarmate defensieve praktijken en tools inhalen, zullen succesvolle aanvallen duurder worden: de dekking zal verbeteren, triviale bugs zullen verdwijnen, en effectieve inbraken zullen serieuze infrastructuur, voorbereiding en expertise vereisen. Dit zal de balans verschuiven naar minder incidenten — maar diegene die plaatsvinden zullen veel complexer en kostbaarder zijn. Mijn belangrijkste conclusie: we zullen de hele beveiligingslevenscyclus opnieuw moeten bekijken, niet alleen "cosmetisch verbeteren" van audits. Hoe we risico-profielen beschrijven en begrijpen, hoe dreigingsmodellen evolueren met AI in het plaatje, hoe we ontwikkeling, beoordelingen, testen, implementatie, on-chain monitoring, incidentrespons en post-mortems structureren — dit alles moet opnieuw worden doordacht. Traditionele audits blijven een belangrijk onderdeel, maar ze kunnen niet langer het enige zwaartepunt zijn. De realiteit is dat AI symmetrisch zowel verdedigers als aanvallers versterkt — en Web3-beveiliging zal zijn hele operationele model moeten aanpassen aan deze asymmetrische wapenwedloop.