由萬向區塊鏈實驗室主辦的2023上海區塊鏈國際週·區塊鏈全球高峰會今日開幕,嘉賓包括萬向區塊鏈董事長肖風、香港特別行政區立法會議員(科技創新界)邱達根、香港數碼港管理有限公司行政總裁任景信等。作為業界領先的Web3 安全機構,CertiK出席高峰會「Web3基石:安全與隱私」圓桌討論。 CertiK首席安全長李康教授與其他Web3安全機構代表積極探討,如何打造更安全的Web3未來。
以下內容為李康教授圓桌發言實錄:
主持人:
您如何看待Web3產業目前的發展狀況,以及Web3安全與隱私在Web3產業發展中的定位與意義?
李康教授:
整個Web3產業是初期階段,但也是一個發展階段。對於使用者來講,Web3的可用性有巨大的提升空間。因為現在Web3產業仍舊非常片段化,大家在各個角落建設,努力發展出非常廣泛的大眾化應用,但目前仍在探索階段。
對開發者來說,Web3已經進入到了比五年前好很多的階段。身為開發人員,現在已經有很多平台和工具可以使用,大家開始建設,甚至有一個群雄逐鹿的階段。對於開發者來講,不是處於起步階段,而是已經起步的階段。
我們的共識是Web3必須有安全,去中心化的形式如果沒有安全的保駕護航,沒有辦法讓大眾來用。如果沒有辦法做到去偽存真,把優質專案和偽劣專案分開,把安全專案和不安全專案分開,社群無法發展,所以我認為安全是必須的。
主持人:
您覺得Web3安全與隱私已有哪些成功的實務經驗與成熟賽道?以及您如何看待這些業態和賽道未來的發展?
李康教授:
其他嘉賓從用戶驅動和監管驅動講了這個賽道,我基本上同意。我從另一個維度看這個賽道,例如從一個專案的生命週期,審計往往是在專案上線之前,上線之後更新也要做。但是上線之前的部分,是經常做的審計服務賽道,這部分大家公認有這麼一個需求,到底提供什麼價值,這個賽道好不好,這是另當別論。還有上線之後的監測,線上專案在運行,到底跑得的是什麼樣的交易呢?是不是有風險?
還有另外一個賽道,就是事件發生以後的反應。 CertiK也做,幫你發現是什麼情況,還有追錢。有不同的維度,有專案上線前的審計,有上線後的監測,還有事件之後的追蹤和恢復。
主持人:
您覺得Web3安全與隱私目前最大的挑戰是什麼?以及應該如何應對這些挑戰?
李康教授:
挑戰很多,這裡挑兩講。
第一,不能埋怨使用者的安全意識,最大的挑戰是現在Web3從業開發者安全意識不足。以我個人了解與經驗來談,目前Web2大廠裡的開發人員,不管是國內還是海外的,對於安全意識非常重視。倒回去15年,也許開發人員寫程式可以不注重安全,但現在大廠裡不可能,持續不重視安全開發的程式設計師很難在大廠裡一個季度不被淘汰。
在Web3裡,很多海外開發人員是剛畢業(甚至沒有畢業)的學生,很多人轉行過來。整體上開發意識和安全意識非常不足。再舉個支撐的例子,最近Immunify發布了他們在bug bounty上發現的前十大的安全問題,最大的問題是不對程式輸入做安全檢查。開發社群需要成長,因此開發人員需要有安全意識。
第二,專案方不管是管理者,還是所有人的安全意識都不足,比如說Rekt news上出過事的項目,80%沒做過審計,我也非常同意之前嘉賓講的審計不一定能解決所有的安全問題。但做遠遠比你不做強。
生態裡仍有部分人覺得安全是產品和服務就可以一次解決問題的事情。我買了你的產品,或是用了我們的審計就安全了,他把安全想成很簡單買個產品就一次解決的。在Web2裡已經不這麼看了,安全是風險管理,是長期投入的事情。如果不改變這兩點,往下都很難走,所以最大的兩個挑戰要克服。
你有投入,但是由於攻防的不對稱,駭客總是有更多的優勢。回過來為什麼要做安全?因為安全不是我能保證風險降為零,安全是能讓你比你的競爭對手跑得更快一點,熊在後面追你,你不一定非要比熊跑得更快,但你要比競爭對手跑得更快,這是理念上的改變。
主持人:
您覺得AI與Web3的發展關係是什麼? AI對Web3安全與隱私又有哪些幫助與想像空間?
李康教授:
第一,AI用到安全里中討論最多的,是用AI的方法來發現程式碼安全問題,幫忙做審計的工作。這部分已經被討論很多了,這裡就不展開了。
第二,AIGC可能是和Web3結合非常有前景的方向,但是內容所有權需要用區塊鏈保護,安全的角色非常重要。如果大眾認為AI可以做資料生成,能跟Web3內容做結合,安全保障是非常必要的。
主持人:
身為管理者與技術負責人,您覺得Web3安全需要怎樣的人才,Web2安全從業人員該如何進入Web3安全領域
李康教授:
如果你是Web2安全做的很好的,那就來吧,因為有足夠的問題,另外你遇到的對手和Web2裡的對手一樣的,他們那群人原來在Web2攻擊你,現在都在Web3了,所以來吧。
隨著Web3技術的不斷發展,Web3的安全前景將受到越來越多的關注與重視。雖然仍需面對許多挑戰,但CertiK將持續為開發者與使用者提供更好的安全體驗,並推動Web3業態的進一步發展與普及。