Worldcoin vydává zprávy o auditu s vyřešenými bezpečnostními problémy

Protokol Proof of humanity Worldcoin zveřejnil své zprávy o auditu 28. července, protože kritika jeho postupů shromažďování dat stále stoupá. Nové zprávy vypracovaly bezpečnostní poradenské firmy Nethermind a Least Authority.
Podle doprovodného oznámení od Worldcoin Nethermind našel 26 bezpečnostních problémů s protokolem, z nichž 24 bylo „identifikováno jako opravené“ během ověřovací fáze, zatímco jeden byl zmírněn a další potvrzen.
Společnost Least Authority objevila tři problémy a předložila šest návrhů, z nichž všechny „byly vyřešeny nebo mají plánovaná řešení,“ stálo v oznámení.
Zjistěte více o výsledcích dvou samostatných bezpečnostních auditů protokolu Worldcoin, které provedly @NethermindEth & @LeastAuthority.https://t.co/fXa50wNBYE
— Worldcoin (@worldcoin) 28. července 2023
Worldcoin se poprvé dostal na výsluní v roce 2021, když oznámil, že rozdá bezplatné tokeny všem uživatelům, kteří ověří svou lidskost, což mohli udělat tak, že by si nechali naskenovat svou duhovku pomocí zařízení zvaného „Orb“. Projekt spoluzaložil Sam Altman, spoluzakladatel AI vývojáře OpenAI.
V té době Altman a další členové týmu tvrdili, že roboti s umělou inteligencí se na internetu stanou stále větším problémem, pokud lidé nenajdou způsob, jak ověřit svou lidskost, aniž by se vzdali svého soukromí. Podle dokumentace protokolu The Orb vytváří hash skenu duhovky uživatele, ale neuchovává kopii skenu duhovky.
Auditní zpráva Nethermind’s Worldcoin. Zdroj: Github
Worldcoin zahájil své veřejné spuštění 25. července, po téměř dvou letech vývoje a beta testování. Ale kritika na to vypukla téměř okamžitě. Úřad britského komisaře pro informace (ICO) údajně uvedl, že vládní orgán se rozhoduje, zda bude projekt vyšetřovat kvůli porušení zákonů o ochraně údajů v zemi. Francouzská agentura pro ochranu dat CNIL rovněž zpochybnila zákonnost Worldcoinu.
Kryptokomunita byla ohledně spuštění projektu rozdělena, přičemž někteří účastníci to viděli jako začátek dystopické budoucnosti, kde bude odstraněno soukromí. Naproti tomu jiní to považovali za nezbytný krok k ochraně lidí před zákeřnými AI.
Nové auditní zprávy pokrývají širokou škálu bezpečnostních témat, včetně odolnosti vůči DDoS útokům, chybám implementace specifických pro jednotlivé případy, ukládání klíčů a správné správě šifrování a podepisování klíčů, úniku dat a integrity informací a dalších. Některé zjištěné problémy byly výsledkem závislostí na Semaforu a Ethereu, včetně „podpory předkompilace eliptické křivky nebo konfigurace hashovací funkce Poseidon,“ stálo v oznámení.
Všechny problémy kromě jednoho byly opraveny, zmírněny nebo mají naplánované opravy. Jeden bezpečnostní problém, který nebyl vyřešen do doby ověření, má závažnost „neurčeno“ a je uveden jako „potvrzeno“.