Kwetsbaarheden in de Vibe-codering: Certora stelt dat menselijk toezicht essentieel is voor DeFi audits

Nvidia CEO Jensen Huang stelt dat "het wonder van kunstmatige intelligentie" is dat "niemand hoeft te programmeren". Dankzij de explosieve groei van AI en de opkomst van Vibe Coding komt de technologie steeds dichter in de buurt van Huangs visie: een toekomst waarin "iedereen in de wereld programmeur is".

Het idee dat iedereen in theorie een gekraakte DeFi-oprichter kan worden zonder enige ervaring of programmeerkennis is natuurlijk aantrekkelijk voor ondernemers in de dop. Maar dat voorspelt niet per se veel goeds voor de veiligheid van duizenden gebruikers in de onchain-economie.

Wat voor bedreiging vormt Vibe Coding voor Solana DeFi en hoe benaderen gerenommeerde auditors zoals Certora AI-ontwikkeling en -auditing?

Meer ontwikkelaars wenden zich tot AI

AI is overal om ons heen en raakt met de dag dieper verweven in ons leven. Volgens de 2025 Developer Survey van Stack Overflow gebruikt meer dan 50% van de professionele ontwikkelaars elke dag AI-tools en neemt 84% van alle respondenten AI op in hun ontwikkelproces.

De enquête van Stack Overflow illustreerde niet alleen hoe populair AI-gebaseerd coderen is geworden, maar bracht ook een aantal verhelderende verschillen aan het licht. Hoewel 84% van de respondenten AI-tools gebruikt in hun ontwikkelproces, heeft slechts 3,1% "veel vertrouwen" in de nauwkeurigheid ervan. We kunnen concluderen dat AI-tools weliswaar praktisch en efficiënt zijn, maar verre van waterdicht.

Het maken van AI-code is gebruikelijker dan ooit, maar toch heeft een duizelingwekkend klein aantal ontwikkelaars vertrouwen in de code die wordt geschreven. Dit wordt versterkt door een recent onderzoek van MIT Sloan, waarin wordt gesteld dat AI ontwikkelaars weliswaar productiever maakt, maar ook de verspreiding van fouten versnelt.

Zoals REKT het zo elegant samenvat: "Deze tools beloofden het coderen te democratiseren, van iedereen een ontwikkelaar te maken. Wat ze eigenlijk deden was het mogelijk maken om complexe systemen te leveren zonder ze te begrijpen."

Hoewel we er natuurlijk van uit kunnen gaan dat de meeste mensen nog steeds toezicht houden op de lopende productie en eventuele fouten zullen herstellen, zullen er onvermijdelijk enkele gevallen zijn waarin ontwikkelaars die onder tijdsdruk staan minder kieskeurig zijn.

In het ergste geval wordt de onchain-economie een massa vibe-gecodeerde apps die worden gecontroleerd door AI-tools, met weinig tot geen menselijk toezicht om obscure, ontwijkende fouten op te sporen. In plaats van de oorspronkelijke belofte van gedecentraliseerde financiën, verandert crypto onvermijdelijk in een duistere speeltuin ontworpen door Claude, voor Claude.

Gelukkig is deze sombere prognose onwaarschijnlijk. Ingenieurs maken zeker gebruik van AI om efficiënter te worden, maar om te zeggen dat ze het hele ontwikkelingsproces volledig uitbesteden aan AI is, voorlopig althans, onnauwkeurig. Serieuze teams kiezen voor een hybride benadering van ontwikkeling, waarbij AI wordt gebruikt in combinatie met menselijk toezicht, ervaring en creativiteit om het beste van beide werelden te krijgen.

Zijn AI-audits veilig?

Hetzelfde geldt voor auditors. Net zoals ingenieurs de voorkeur geven aan AI-tools vanwege hun efficiëntie, plukken ook auditors de vruchten van een krachtige set extra ogen. Cyberbeveiligingsauditors, zowel binnen als buiten crypto, nemen AI op in hun processen, waardoor ze een veel breder gebied kunnen analyseren en testen dan wat een mens kan bereiken.

Maar ondanks de groeiende populariteit van AI-auditingtools zijn er nog steeds mensen nodig om lastige hacks te voorkomen. Mooly Sagiv, Chief Scientist bij Certora, beweert dat bestaande AI-audits niet in staat zijn om interessantere hacks, zoals Euler V1 en Cork, te repliceren. Zelfs voor eenvoudige exploits is het nog onduidelijk of AI-audits nuttiger zijn dan statische analysetools.

Voor al zijn genialiteit is AI nog steeds, tenminste voor zover ik weet, niet in staat om origineel te denken. Zelfs de allerbeste AI-tools kunnen geen code of logica genereren die mensen niet al ergens hebben geïmplementeerd, wat betekent dat ze altijd een inhaalslag moeten maken. Rekening houdend met hoe snel cybercriminelen nieuwe aanvalsvectoren ontwerpen en uitvoeren, moeten ontwikkelaars en auditors proactief in plaats van reactief reageren op potentiële bedreigingen.

Betrouwbare en gerenommeerde beveiligingsbedrijven zoals Certora zien AI als een hulpmiddel dat kan worden ingezet in het auditproces, niet als iets dat de verantwoordelijkheden van menselijke auditors volledig vervangt.

AI kan helpen kwetsbaarheden te identificeren en alternatieven voor te stellen, maar auditors moeten nog steeds met een fijne kam door codebases gaan om de nauwkeurigheid van de bevindingen van een AI-tool te bepalen. AI kan niet het kritische, 'outside-the-box'-denken kopiëren dat van auditors wordt gevraagd. Complexe programma's bieden onvermijdelijk een groot oppervlak voor potentiële aanvallen en exploiteerbare randgevallen, dus menselijk toezicht blijft essentieel voor veilige, proactieve auditing.

Certora, verantwoordelijk voor de beveiliging van meer dan $10B van Solana's onchain TVL (en $100B in de bredere DeFi-ruimte), suggereert dat een kritische, hybride benadering van beveiligingsaudits consistent de beste resultaten oplevert en zowel toepassingen als gebruikers ongeëvenaarde gemoedsrust geeft bij het navigeren door de onchain-economie.

Lees meer op SolanaFloor

Potentiële ETF-emittenten op een zijspoor gezet door BSOL-notering

Fidelity wijzigt S-1 $SOL ETF aanvraag - notering over 20 dagen?

Wat zijn de grootste problemen voor Solana op dit moment?