Wyniki audytu Worldcoina. Czy projekt Sama Altmana z OpenAI jest bezpieczny?

Poboczny projekt CEO OpenAI - Sama Altmana - który zajmuje się skanowaniem ludzkich tęczówek oczu w celu stworzenie ich biometrycznego identyfikatora, czyli Worldcoin, opublikował wczoraj wyniki audytu dot. bezpieczeństwa gromadzonych danych. Jest to bardzo kluczowa sprawa, bowiem sporo instytucji blokowało działanie tej firmy w swoich krajach wskazując na niebezpieczeństwa związane z wykorzystaniem wrażliwych informacji jej klientów.
  • Głównym przedmiotem przeprowadzonego audytu było oprogramowanie Orb, którego zadaniem jest skan tęczówek oczu użytkowników aplikacji Worldcoin,
  • Do przeprowadzenia badań zaproszono niezależną firmą audytorską - Trail of Bits - której pracownicy analizowali kod protokołu przez 6 tygodni,
  • Opublikowane wczoraj wyniki nie wykazały w nim żadnej poważnej luki. Jednakże zalecano deweloperom aplikacji wdrożenie kilku poprawek.

Worldcoin przeszedł szczegółowy audyt

Dla osób nie będących zaznajomionych z tematem Worldcoina, szybkie wprowadzenie. Jest to projekt łączący ze sobą sektory kryptowalut, blockchaina oraz sztucznej inteligencji, który wystartował oficjalnie w lipcu zeszłego roku. Na jego czele stoi Sam Altman, który na co dzień jest również dyrektorem generalnym firmy OpenAI, czyli twórców ChatGPT. Działanie Worldcoin sprowadza się do aplikacji płatniczej, w której można dokonywać transferu kryptowalut (projekt posiada natywny token WLD) oraz specjalnej platformy, która działa w oparciu o oprogramowanie Orb. Te natomiast służy do skanowanie za pomocą specjalnej kuli naszych tęczówek ocznych celem tworzenia tzw. skanu biometrycznego, na podstawie którego otrzymujemy swój unikatowy cyfrowy identyfikator tożsamości. Jego funkcją jest zapewnienie osobom, które przejdą taki skan, dowodu potwierdzającego ich tożsamość w cyberprzestrzeni. Jest to o tyle ważne, że w dzisiejszych czasach bardzo łatwo jest stworzyć naszego cyfrowego sobowtóra przy pomocy sztucznej inteligencji (AI), czyli tzw. deepfake'a. Mimo pozornie szczytnych celów, projekt Worldcoin nadal nie cieszy się zaufaniem w wielu miejscach na świecie. Między innymi Nigeria oraz Hiszpania zakazały jego twórcom działania w swoich jurysdykcjach. Wczoraj natomiast firma opublikowała wyniki audytu, który został przeprowadzony przez niezależną, zewnętrzną firmę Trail of Bits. Podmiot ten dokładnie badał kod protokołu Orb, czy nie zawiera jakiś luk w swoim systemie i nie jest podatny za wyciek wrażliwych danych. //twitter.com/worldcoin/status/1768264406209606039 Ku uciesze Altmana i jego współpracowników, wyniki badania okazały się pozytywne. System Worldcoina nie zawiera żadnych poważnych błędów. Przede wszystkim przeanalizowano proces szyfrowania i transferu rejestrowanych danych od użytkowników (których jest już ponad 4 miliony na całym świecie). Badania trwały ponad 6 tygodni. Autorzy audytu w opublikowanym raporcie napisali, że nie ma podstaw, żeby sądzić, by jakaś osoba z zewnątrz byłaby w stanie wykraść kod skanowanych tęczówek ocznych, jeżeli nie jest w posiadaniu ich certyfikatu. Ten jedynie mógłby udostępnić użytkownik, który dokonał skanu swoich oczu.
Uważamy, że kod tęczówki nie jest zapisywany w trwałej pamięci Orba i że jest zawarty tylko w jednym żądaniu wysyłanym do zaplecza Orba [...] [Chociaż] tę konfigurację można ulepszyć, aby była bezpieczniejsza ( TOB-ORB-10), typowi atakujący nie powinni mieć możliwości wyodrębnienia kodu tęczówki z ruchu sieciowego Kuli; atakujący musiałby mieć kontrolę nad jednym z zaufanych certyfikatów
- przekazano w raporcie.

Co trzeba było poprawić?

Audytorze zalecali jednak twórcom protokołu Orb, by wdrożyć kilka poprawek w celu zwiększenia bezpieczeństwa działania ich systemu. Wskazano tutaj na punkty. Pierwszy odnosił się do konfiguracji procesu rejestracji. Ta miała na celu upewnienie się, że przy kolejnych aktualizacjach Orb nie dojdzie do wycieku danych. Druga sprawa dotyczyła sugestii, by zastąpić bibliotekę ZBar, czyli technologię skanującą kody QR przy rejestracji do aplikacji, oprogramowaniem Rust. Jak wyjaśniono, ZBar budzi wątpliwości co do "bezpieczeństwa pamięci gromadzonych danych", które mogą w pewnym momencie wypłynąć poza zamknięty obieg. W raporcie podkreślono jednak, że zespół Worldcoina wdrożył obie sugerowane poprawki do swojego systemu.

Jak zareagował kurs Worldcoina na wyniki badań?

W momencie pisania tego artykułu cena tokena WLD wynosi 8,9 dolara. Oznacza to korektę o 7,71% w ciągu ostatnich 24h. Ten spadek kursu jest raczej podyktowany tym, że bitcoin mocno zanurkował na swoim wykresie cenowym, co pociągnęło za sobą na południe sektor altcoinów.

Wykres cenowy WLD na giełdzie OKX. Źródło: TradingView

Komentarze

Ranking giełd