Bài viết "Xu hướng bảo mật năm 2026" của a16z

1. Quyền riêng tư sẽ trở thành rào cản quan trọng nhất trong lĩnh vực tiền điện tử năm nay. Quyền riêng tư là một tính năng then chốt của sự chuyển dịch tài chính toàn cầu hướng tới các giao dịch trên chuỗi, và là điều mà hầu hết các blockchain hiện có đều thiếu. Đối với hầu hết các blockchain, quyền riêng tư luôn được xem xét sau cùng. Nhưng ngày nay, chính quyền riêng tư đã đủ để tạo nên sự khác biệt giữa một blockchain với các đối thủ cạnh tranh. Quyền riêng tư cũng đóng một vai trò quan trọng hơn: nó tạo ra hiệu ứng khóa chuỗi; hay nói cách khác, hiệu ứng mạng lưới riêng tư. Điều này đặc biệt quan trọng trong thế giới hiện nay, nơi mà hiệu năng đơn thuần không còn đủ để chiến thắng. Nhờ các giao thức cầu nối, việc chuyển đổi từ blockchain này sang blockchain khác rất dễ dàng miễn là tất cả dữ liệu đều được công khai minh bạch. Tuy nhiên, một khi bạn đặt nội dung của mình ở chế độ riêng tư, mọi thứ sẽ thay đổi: token xuyên chuỗi thì dễ, nhưng bảo mật xuyên chuỗi thì khó. Luôn có rủi ro khi truy cập và rời khỏi các khu vực riêng tư; ai đó theo dõi blockchain, mempool hoặc lưu lượng mạng có thể xác định danh tính của bạn. Việc vượt qua ranh giới giữa các blockchain riêng tư và công khai—hoặc thậm chí giữa hai blockchain riêng tư—làm rò rỉ nhiều siêu dữ liệu, chẳng hạn như mối tương quan giữa thời gian giao dịch và kích thước giao dịch, khiến việc theo dõi ai đó trở nên dễ dàng hơn nhiều. So với vô số chuỗi mới đồng nhất (mà phí giao dịch có thể bị đẩy xuống bằng không do cạnh tranh, vì không gian khối về cơ bản đã trở nên giống nhau ở mọi nơi), các blockchain tập trung vào quyền riêng tư có thể có hiệu ứng mạng lưới mạnh mẽ hơn. Trên thực tế, nếu một chuỗi "đa năng" không có hệ sinh thái phát triển mạnh, các ứng dụng đột phá hoặc lợi thế phân phối không công bằng, hầu như không ai sẽ sử dụng hoặc phát triển trên đó—chứ đừng nói đến việc duy trì lòng trung thành với nó. Khi người dùng sử dụng blockchain công khai, họ có thể dễ dàng giao dịch với người dùng trên các chuỗi khác—không quan trọng họ tham gia chuỗi nào. Tuy nhiên, khi người dùng sử dụng blockchain riêng tư, chuỗi mà họ chọn trở nên rất quan trọng, bởi vì một khi họ tham gia vào một chuỗi, họ ít có khả năng dễ dàng chuyển đổi, do đó làm giảm nguy cơ rò rỉ thông tin. Điều này tạo ra tình huống kẻ thắng cuộc chiếm tất cả. Vì quyền riêng tư rất quan trọng đối với hầu hết các ứng dụng thực tế, một vài chuỗi riêng tư có thể kiểm soát phần lớn tiền điện tử. ~ Ali Yahya (@alive_eth), Đối tác chung, a16z crypto 2. Năm nay, thách thức mà các ứng dụng nhắn tin tức thời phải đối mặt không chỉ là làm thế nào để chống lại các cuộc tấn công lượng tử, mà còn là làm thế nào để đạt được sự phi tập trung. Khi thế giới chuẩn bị cho điện toán lượng tử, nhiều ứng dụng nhắn tin tức thời dựa trên mật mã (như Apple, Signal và WhatsApp) đã đi đầu và đạt được thành công đáng kể. Vấn đề là tất cả các ứng dụng nhắn tin tức thời phổ biến đều dựa vào sự tin tưởng của chúng ta vào các máy chủ riêng do một tổ chức duy nhất vận hành. Các máy chủ này dễ dàng bị chính phủ nhắm mục tiêu, họ có thể dễ dàng đóng cửa chúng, cài đặt cửa hậu hoặc ép buộc người dùng giao nộp dữ liệu cá nhân của họ. Nếu một quốc gia có thể đóng cửa máy chủ của bạn; nếu một công ty nắm giữ khóa của các máy chủ riêng; hoặc thậm chí nếu một công ty sở hữu các máy chủ riêng, thì mã hóa lượng tử có ích gì? Các máy chủ riêng cần "tin tưởng tôi" - nhưng nếu không có máy chủ riêng, điều đó có nghĩa là "bạn không cần phải tin tưởng tôi". Giao tiếp không cần bất kỳ công ty nào làm trung gian. Nhắn tin yêu cầu các giao thức mở mà theo đó chúng ta không cần phải tin tưởng bất kỳ ai. Cách để đạt được điều này là một mạng lưới phi tập trung: không có máy chủ riêng. Không có ứng dụng riêng lẻ nào. Tất cả đều là mã nguồn mở. Mã hóa hàng đầu—bao gồm cả khả năng chống lại các mối đe dọa lượng tử. Trong một mạng lưới mở, không cá nhân, công ty, tổ chức phi lợi nhuận hay quốc gia nào có thể tước đoạt khả năng giao tiếp của chúng ta. Ngay cả khi một quốc gia hoặc công ty đóng cửa một ứng dụng, 500 phiên bản mới sẽ xuất hiện vào ngày hôm sau. Việc đóng cửa một nút mạng sẽ được khuyến khích về mặt kinh tế để được thay thế ngay lập tức bằng các nút mạng mới nhờ các công nghệ như blockchain. Khi mọi người sở hữu thông tin của họ giống như cách họ sở hữu tiền của mình—thông qua các khóa—mọi thứ sẽ thay đổi. Các ứng dụng có thể phát triển, nhưng mọi người luôn kiểm soát thông tin và danh tính của họ; ngay cả khi bản thân ứng dụng không thuộc sở hữu của người dùng cuối, giờ đây họ vẫn có thể sở hữu thông tin của mình. Điều này quan trọng hơn cả khả năng chống lượng tử và mã hóa; đó là về quyền sở hữu và phân quyền. Nếu thiếu hai điều này, tất cả những gì chúng ta đang làm là xây dựng mã hóa dường như không thể phá vỡ, nhưng nó vẫn có thể bị đóng cửa. ~ Shane Mac (@ShaneMac), Đồng sáng lập và Giám đốc điều hành của XMTP Labs 3. Chúng tôi sẽ có "Khóa như một dịch vụ", biến quyền riêng tư thành cơ sở hạ tầng cốt lõi. Đằng sau mỗi mô hình, tác nhân và quy trình tự động đều ẩn chứa một sự phụ thuộc đơn giản: dữ liệu. Nhưng hiện nay, hầu hết các đường dẫn dữ liệu—dữ liệu đầu vào hoặc đầu ra của các mô hình—đều không minh bạch, dễ thay đổi và không thể kiểm toán. Điều này có thể chấp nhận được đối với một số ứng dụng dành cho người tiêu dùng, nhưng nhiều ngành công nghiệp và người dùng, chẳng hạn như tài chính và chăm sóc sức khỏe, yêu cầu các công ty phải giữ bí mật dữ liệu nhạy cảm. Đây cũng là một trở ngại đáng kể đối với các tổ chức hiện đang tìm cách mã hóa tài sản thực. Vậy, làm thế nào để đạt được sự đổi mới an toàn, tuân thủ, tự chủ và có khả năng tương tác toàn cầu trong khi vẫn đảm bảo quyền riêng tư? Có nhiều cách tiếp cận, nhưng tôi sẽ tập trung vào kiểm soát truy cập dữ liệu: Ai kiểm soát dữ liệu nhạy cảm? Dữ liệu lưu chuyển như thế nào? Ai (hoặc cái gì) có thể truy cập dữ liệu này? Nếu không có kiểm soát truy cập dữ liệu, bất kỳ ai muốn giữ bí mật dữ liệu của mình hiện phải sử dụng các dịch vụ tập trung hoặc xây dựng các cài đặt tùy chỉnh—điều này không chỉ tốn thời gian và công sức mà còn ngăn cản các tổ chức tài chính truyền thống và các tổ chức khác tận dụng tối đa khả năng và lợi ích của việc quản lý dữ liệu trên chuỗi. Khi các hệ thống ủy quyền bắt đầu duyệt, giao dịch và đưa ra quyết định một cách tự động, người dùng và các tổ chức trong nhiều ngành cần các biện pháp bảo vệ mật mã, chứ không chỉ là “niềm tin nỗ lực tối đa”. Đây là lý do tại sao tôi tin rằng chúng ta cần “Khóa như một dịch vụ”: các công nghệ mới cung cấp các quy tắc truy cập dữ liệu gốc có thể lập trình, mã hóa phía máy khách và quản lý khóa phi tập trung, từ đó quy định ai có thể giải mã dữ liệu nào trong điều kiện nào và trong bao lâu…tất cả đều trên chuỗi khối. Bằng cách kết hợp các hệ thống dữ liệu có thể kiểm chứng, thông tin bí mật có thể trở thành một phần của cơ sở hạ tầng công cộng cơ bản của internet, thay vì vá các biện pháp bảo vệ quyền riêng tư ở lớp ứng dụng sau đó, do đó biến quyền riêng tư thành một cơ sở hạ tầng cốt lõi. ~ Adeniyi Abiodun (@EmanAbio), Giám đốc Sản phẩm và Đồng sáng lập của Mysten Labs 4. Trong kiểm thử bảo mật, chúng ta sẽ chuyển từ “mã là luật” sang “tiêu chuẩn là luật”. Các vụ tấn công DeFi năm ngoái cũng ảnh hưởng đến một số giao thức đã được thiết lập tốt với các nhóm mạnh, quy trình kiểm toán nghiêm ngặt và nhiều năm kinh nghiệm sản xuất. Do đó, những sự cố này làm nổi bật một thực tế đáng lo ngại: các thực tiễn bảo mật tiêu chuẩn hiện tại vẫn phụ thuộc rất nhiều vào các quy tắc kinh nghiệm và cách tiếp cận từng trường hợp cụ thể. Để trưởng thành trong năm nay, bảo mật DeFi cần chuyển từ các mẫu lỗ hổng sang các thuộc tính ở cấp độ thiết kế và từ cách tiếp cận "nỗ lực tối đa" sang cách tiếp cận "có nguyên tắc": Trong giai đoạn tĩnh/trước khi triển khai (kiểm thử, kiểm toán, xác minh chính thức), điều này có nghĩa là chứng minh một cách có hệ thống các bất biến toàn cục, thay vì xác minh các bất biến cục bộ được lựa chọn cẩn thận. Hiện tại, một số nhóm đang xây dựng các công cụ chứng minh hỗ trợ bởi AI để giúp viết các đặc tả, đề xuất các bất biến và giảm bớt công việc kỹ thuật chứng minh thủ công tốn kém trong quá khứ. Trong giai đoạn động/sau khi triển khai (giám sát thời gian chạy, thực thi thời gian chạy, v.v.), các bất biến này có thể được chuyển thành các biện pháp bảo vệ thời gian thực: tuyến phòng thủ cuối cùng. Các biện pháp bảo vệ này sẽ được mã hóa trực tiếp dưới dạng các khẳng định thời gian chạy mà mọi giao dịch phải đáp ứng. Do đó, thay vì giả định rằng mọi lỗ hổng đều được phát hiện, giờ đây chúng ta thực thi các thuộc tính bảo mật quan trọng trong chính mã nguồn và tự động hoàn tác bất kỳ giao dịch nào vi phạm các thuộc tính này. Điều này không chỉ là lý thuyết. Trên thực tế, hầu hết các cuộc tấn công khai thác cho đến nay đều đã kích hoạt một trong những kiểm tra này trong quá trình thực thi, có khả năng ngăn chặn việc tấn công. Do đó, khái niệm "mã nguồn là luật" từng rất phổ biến nay đã phát triển thành "tiêu chuẩn là luật": ngay cả những cuộc tấn công hoàn toàn mới cũng phải đáp ứng các thuộc tính bảo mật tương tự để đảm bảo tính toàn vẹn của hệ thống, khiến cho các cuộc tấn công chỉ có quy mô nhỏ hoặc cực kỳ khó thực hiện. ~ Daejun Park (@daejunpark), nhóm kỹ thuật mật mã a16z