Формальная верификация спасёт? Не совсем.
Идея Виталика Бутерина понятна: если мощные AI-модели смогут быстро искать баги в коде, особенно в крипте, ZK/STARKs, постквантовой криптографии и инфраструктурном софте, обычного подхода «написали → протестировали → поправили» может стать недостаточно.
Но фраза «математически доказанная безопасность» звучит слишком сильно. Формальная верификация не доказывает, что программа безопасна вообще. Она доказывает, что реализация соответствует конкретной формальной спецификации при заданных предположениях. Если спецификация неполная, модель угроз узкая, не учтены side-channel атаки, ошибки компилятора, CI/CD, ключи, оракулы или человеческий фактор — доказательство не спасёт.
То есть это не серебряная пуля, а инструмент для узкого, критичного ядра системы: криптографии, консенсуса, VM, verifier’ов, smart contracts, low-level компонентов.
А вот большая периферия — UI, интеграции, DevOps, админки, зависимости, процессы релиза — всё равно останется зоной классического кибербеза, тестирования, мониторинга и быстрого исправления.
На мой взгляд, главный сдвиг будет не в том, что «AI начнёт писать безопасный код». Скорее, преимущество получат те, кто встроит AI в полный цикл безопасности:
найти уязвимость → проверить exploitability → оценить риск → написать fix → прогнать регрессию → быстро раскатить патч.
Сам доступ к AI ничего не гарантирует. Без процесса он просто создаст огромный backlog найденных проблем. Победят те команды, у которых AI будет не игрушкой, а частью инженерной дисциплины.
Итог: будущее безопасности — не в выборе между AI и формальными методами. Оно в связке:
AI-assisted security review + fuzzing + property-based testing + формальная верификация security-core + быстрый цикл исправлений.
Формально доказывать нужно то, где ошибка недопустима. Всё остальное придётся защищать процессами, архитектурой и скоростью реакции.