La pressione della sicurezza dell'IA mette le blockchain open source sotto un nuovo scrutinio

I modelli di IA avanzati stanno cambiando il contesto della sicurezza per i progetti blockchain open source. Recenti benchmark di sicurezza dell'IA, politiche di accesso ristretto per modelli con capacità cyber e la ricerca sulle vulnerabilità assistita dall'IA hanno spostato la questione dalla teoria alla gestione attiva del rischio infrastrutturale.

Questo cambiamento è importante per Cardano e per l'intero settore blockchain, perché il codice pubblico, gli smart contract, le applicazioni wallet, i protocolli DeFi, l'infrastruttura dei nodi e le dipendenze software di terze parti creano tutte superfici che possono essere esaminate a velocità di macchina. Man mano che l'IA accelera sia la ricerca difensiva sia i test offensivi, gli ecosistemi blockchain vengono misurati non solo per la velocità di sviluppo, ma per la solidità dei loro processi di verifica, manutenzione e risposta.

I modelli di IA accelerano i test di sicurezza degli smart contract

Anthropic ha rilasciato Claude Fable 5 a giugno come versione pubblica del suo modello di classe Mythos, con misure di salvaguardia progettate per limitare o bloccare i casi d'uso di cybersecurity ad alto rischio. Le capacità Mythos meno ristrette vengono limitate tramite programmi di accesso controllato per organizzazioni verificate.

Questa release riflette un cambiamento più ampio nella sicurezza del software. I modelli di IA di frontiera sono ormai abbastanza capaci che il loro impiego in cybersecurity richiede paletti, attività di red teaming e controlli di accesso. Nel mondo crypto, la questione è particolarmente sensibile perché gli smart contract sono pubblici, hanno valore finanziario e spesso sono difficili da modificare dopo la distribuzione.

La ricerca di red teaming del 2025 di Anthropic ha testato agenti di IA su un benchmark di 405 smart contract reali che in passato erano stati sfruttati su chain compatibili con Ethereum. In un ambiente sandbox, gli agenti hanno generato exploit funzionanti per oltre la metà dei contratti testati, rappresentando perdite simulate per centinaia di milioni di dollari.

OpenAI e Paradigm hanno introdotto anche EVMbench nel febbraio 2026, un benchmark open source per valutare gli agenti di IA in ambiti come rilevazione delle vulnerabilità, patching e sfruttamento. I risultati hanno mostrato che gli agenti di IA possono supportare il lavoro di sicurezza sugli smart contract, confermando al contempo che rilevazione, patching sicuro e sfruttamento end to end restano sfide tecniche distinte. La revisione umana, la conoscenza dei protocolli e l'esperienza di sicurezza avversaria restano parti necessarie dei flussi di lavoro di audit seri.

L'infrastruttura blockchain open source affronta il rischio della catena di fornitura

La sicurezza della blockchain non dipende solo dal codice degli smart contract. Gli ecosistemi si affidano anche a wallet, interfacce front end, servizi di indicizzazione, API, SDK, componenti di bridge, implementazioni dei nodi e librerie software mantenute da team esterni.

Il report 2026 Black Duck Open Source Security and Risk Analysis ha rilevato che il debito di sicurezza dell'open source continua a crescere nelle codebase software moderne. Il report ha evidenziato un aumento del numero di vulnerabilità, componenti obsoleti e pacchetti senza attività di sviluppo recente. Per i progetti blockchain ciò significa che il rischio per gli utenti non deve necessariamente originare all'interno del protocollo di consenso per avere un impatto su fondi reali o accessi reali.

L'IA cambia l'economia di quel rischio. Se la revisione del codice, l'analisi delle dipendenze e i test di exploit diventano più rapidi e meno costosi, il software scarsamente mantenuto diventa più facile da ispezionare su larga scala. Gli stessi strumenti che aiutano gli auditor e i ricercatori responsabili possono anche ridurre il costo della preparazione degli attacchi.

Per i protocolli DeFi, ciò restringe il tempo tra la scoperta di una vulnerabilità e il possibile sfruttamento. Per l'infrastruttura dei wallet, aumenta l'importanza della gestione delle chiavi, del controllo dei permessi, della disciplina dei rilasci e della manutenzione delle dipendenze. Per le reti blockchain, attribuisce maggiore peso ai processi di testnet, ai programmi di bug bounty, alle specifiche formali e agli aggiornamenti di sicurezza coordinati.

L'elevata garanzia di Cardano passa da principio di progettazione a infrastruttura di sicurezza

L'approccio tecnico di Cardano è da tempo incentrato su sviluppo guidato dalla ricerca, metodi formali ed esecuzione prevedibile. Il modello eUTXO offre agli sviluppatori un ambiente transazionale deterministico, mentre Plutus Core fornisce una base per analisi più formali del comportamento degli smart contract.

A maggio 2026, Input Output ha annunciato nuove formalizzazioni in Lean 4 per gli smart contract di Cardano. L'aggiornamento consente agli sviluppatori di verificare proprietà dei contratti scritti in linguaggi come Plinth, Aiken e Plutarch attraverso un percorso che conduce a specifiche verificate dalla macchina. Il lavoro fa parte dell'iniziativa High Assurance di Cardano e aggiunge uno strato di verifica automatizzata allo stack di sviluppo dell'ecosistema.

Questo sviluppo offre a Cardano una risposta di sicurezza concreta a un ciclo di revisione guidato dall'IA. Invece di fare affidamento solo su audit reattivi dopo che il codice è stato scritto, la verifica formale permette agli sviluppatori di definire il comportamento atteso dei contratti e di controllare tali proprietà rispetto a specifiche leggibili dalla macchina. Non elimina la necessità di audit o test, ma rafforza il processo prima che il codice raggiunga la produzione.

Ciò sta diventando sempre più rilevante man mano che le applicazioni Cardano si espandono in ambiti come DeFi, wallet, strumenti di governance, integrazioni enterprise e infrastruttura dati. Il mercato non valuterà quei prodotti solo per le funzionalità o l'esperienza utente. Valuterà anche se i team sanno mantenere il codice, revisionare le dipendenze, documentare le assunzioni, testare i casi limite e rispondere rapidamente quando vengono segnalate vulnerabilità.

L'IA non eliminerà la necessità di auditor, metodi formali o manutenzione software responsabile. Alza lo standard operativo per ogni progetto che combina codice pubblico con valore finanziario. In quell'ambiente, la strumentazione ad alta garanzia di Cardano, il lavoro di verifica formale e una disciplina di sviluppo più rigorosa diventano infrastruttura di sicurezza pratica piuttosto che caratteristiche di protocollo astratte.