Isulat ni Sleepy
Nakita ng isang tao ang isang bug gamit ang Claude Opus 4.8 na nagresulta sa pagwawala ng $4.5 bilyon na halaga ng isang cryptocurrency.
Ang simula ng kaganapan ay isang security audit. Ang Zcash ay isang matandang privacy network na gumagamit ng zero-knowledge proofs upang protektahan ang impormasyon ng transaksyon, at ang Orchard ay ang pangunahing lugar ng kanyang kakayahang magkaroon ng privacy sa transaksyon.
Noong Mayo 29, natuklasan ni Taylor Hornby, isang security researcher, isang malubhang butas sa Orchard sa ilalim ng pagsusuri ng protokolo na inisyu ng Shielded Labs, na nagpapahintulot sa mga attacker na lumikha ng mga token na hindi dapat umiiral, o "infinite minting".
Nag-completed ang Zcash ng emergency upgrade sa mga sumusunod na araw, at kinumpirma ng opisyal na mayroong vulnerability, ngunit hindi makakumpirma kung sinong gumamit nito upang mag-print ng mga token. Pagkatapos ng pahayag ng opisyal noong Hunyo 5, bumagsak ang Zcash ng 50%.
Ipinakilala ni Anthropic ang Opus 4.8 noong Mayo 28, at sa susunod na araw, natuklasan ang butas.
Hindi Mythos, Opus ang tamang pangalan
Ang pangyayari sa Zcash ay nakakatakot, hindi dahil malakas ang AI, kundi dahil sobrang karaniwan lang ang kanyang lakas ngayon.
Bago ito, ang totoong kinatakutan ng industriya ng seguridad ay ang Claude Mythos Preview ni Anthropic. Noong Abril 2026, naglabas ang Anthropic ng isang pagtataya sa kakayahan sa cybersecurity na nagsasabing ang Mythos Preview ay nakakakilala at nakakagamit ng mga zero-day vulnerability sa pangunahing operating system at browser, ang ilan sa mga ito ay napakalalim at nakatago na ng maraming taon, kabilang ang isang bug sa OpenBSD na maaaring iugnay sa 27 taon na ang nakalipas.
Ang pagtataya ay nagpapahiwatig na kahit isang inhinyero na walang background sa seguridad, maaari ring pagsikapan ang Mythos Preview na maghanap ng remote code execution vulnerability sa buong gabi, at sa susunod na araw, makakakita na ng isang buong at gumagana na code ng pag-atake.
Ito ay nangangahulugan na ang isang kakayahan na dati ay nagagawa lamang ng ilan sa mahabang panahon ay nagsisiging serbisyo na maaaring i-access ng sinuman anumang oras. Ang kakayahan mismo ay walang panig; ang pagkakaiba ay nasa sinuso at kung paano ito ginagamit.
Naiintindihan rin ng Anthropic ang point na ito. Kaya nila ginawa ang Project Glasswing, kung saan ibinigay nila ang Mythos Preview sa isang maliit na grupo ng organisasyon para sa defensive security work. Kilala rin nila na ang ganitong antas ng modelo ay nangangailangan ng mas malakas na proteksyon at mas mahigpit na pagkakasunod sa patakaran bago ito maibigay sa lahat.
Sa pagkakasundo ng Zcash, ang ginagamit ng mga teknikal na eksperto ay hindi ang Mythos na nakakasara, kundi ang Opus 4.8 na nai-publish, available na, at nasa ordinaryong proseso ng trabaho.
Pumasok ang AI sa larangan ng seguridad, nagbibigay sa maliit na grupo ng kakayahan sa pag-audit na katumbas ng malaking grupo. Ginagawang mas mabilis ng AI ang paghahanap ng bug ng mga tagapangalaga, at mas mabilis din ang pag-unawa ng mga hacker sa sistema.
At ang pinakamapanganib ay hindi kailangang ang pinakamalakas na modelo, kundi ang modelo na sapat na malakas, sapat na mura, at sapat na karaniwan.
Mas karaniwan ang modelo, mas maraming tao ang makakahawak nito. Kaya ang tanong ay hindi na kung kayang hanapin ng AI ang mga butas, kundi: Ano ang mangyayari kapag lahat ng tao ay makakahanap?
Kapag ang paghahanap ng Bug ay naging masalimuot na kilusan
Pagkatapos ipababa ng AI ang gastos sa pagkakatuklas ng mga butas, magkakaroon ng dalawang bagay.
Isang uri ay pekeng mga ulat sa kaligtasan na tila totoo ngunit hindi makatotohanan sa pagsubok. Ang isa pang uri ay totoo—ang mga butas na dati'y nakatago sa malalim na bahagi ng sistema at kailangan ng mga eksperto na magpassa ng ilang linggo hanggang sa ilang buwan upang hanapin—ay nagsisimulang mas mabilis na matuklasan.
Ang una ay magiging sobra sa mga tagapangalaga, habang ang ikalawa ay magiging sanhi ng pagbagsak ng sistema. Mas komplikado pa, pareho silang darating nang sabay.
Ang网络安全 ay may isang ideal na kuwento: ang mga white hat ay nakakakita ng mga vulnerability, nagpapahayag nang may responsibilidad, ang mga vendor ay nagpapabuti, at ang mga user ay nakikinabang.
Noong nakaraan, maraming beses ay tumatakbo ang mundo ayon sa kuwentong ito. Ngunit nang babaan ng AI ang hadlang sa «paghahanap ng mga bug», at nang lahat ay makakagamit ng mga open-source na modelo upang hanapin ang mga bug, dumating ang malaking bilang ng mga tao na naghahanap ng reward at nagsisikap magkaroon ng reputasyon. Marami sa kanila ay kopya lang ng isang prompt, at pinapagana ang modelo upang lumikha ng isang ulat na tila malikha. Ang ulat ay hindi laging totoo.
Ngunit anuman ang katotohanan, kailangang seryosuhin ng mga tagapangalaga.
Ang OpenSSF ay nag-organisa ng isang diskusyon noong Pebrero 2026 tungkol sa “AI-generated spam reports”, na nakatuon sa kung paano dapat tumugon ang mga tagapagpanatili ng open source sa mga mababang kalidad at AI-generated na report ng vulnerabilities. Ang curl ay nareport na noong gitna ng 2025, lamang ang halos 5% ng mga pagsumbong sa bounty ay tunay na vulnerabilities, habang ang halos 20% ay tila AI-generated na mababang kalidad na nilalaman. Sabi ng OpenSSF, ang mga report na ito ay parang DDoS, ngunit ang kanilang target ay ang atensyon ng tao.
Hindi ang mga tagapangalaga ng open source ang sentro ng serbisyo sa kliyente. Marami sa kanila ay walang sahod, walang timbangan ng seguridad, at walang iskedyul. Gayunpaman, isang proyekto ay maaaring magtustos sa maraming komersyal na sistema sa buong mundo, at ang mga kumpanya na nag-iipon ng malaking gastos dahil sa open source ay hindi kailangan magbigay ng anumang pera sa mga tagapangalaga; ngunit kapag may mangyari, sila ay laging babalik at magtatanong kung bakit hindi mo pa inayos agad.
Ipinatigil ni curl ang bug bounty program dahil hindi na kayang harapin. Ang mga security report ay bahagi ng pagsisilbing palatandaan, ngunit kapag puno na ito ng spam, ang palatandaang ito ay nagsisimula nang mag消耗 ang mga taong nasa likod nito.
Ang AI ay nagbigay ng kakayahan sa mas maraming tao na magsumite ng mga ulat tungkol sa mga butas, ngunit hindi nagbigay ng kakayahan sa mas maraming tao na masuri kung totoo o hindi ang mga butas. Ang pagkakagawa ng isang ulat ng isang modelo ay hindi katumbas ng pag-unawa sa ulat; ang pagpapatakbo ng isang code para sa pag-verify ay hindi katumbas ng pagpapaliwanag kung gaano kalaki ang epekto nito.
At mas masama pa, naninirahan tayo sa isang mundo kung saan talagang maaari mong gamitin ang AI upang makahanap ng maraming mga butas.
Ang ating nakaraang kapayapaan ay dahil sa magandang pagkakataon
Ang pinakamalaking maling paniniwala na ibinibigay ng internet ay ang pagkakaisip na kung isang bagay ay maaaring mag-run, kaya ito ay tiyak na maaasahan.
Maaari mong magbayad gamit ang mobile phone, maaari mong i-scan ang QR code sa subway, maaari mong i-book ang appointment sa ospital; kahit anong larawan na nasa cloud drive na galing sa sampung taon na ang nakalipas—nababawasan mo na ito, ngunit hindi ito nababawasan. Ang mga bagay na ito ay gumagawa araw-araw, kaya inaasahan natin na walang problema. Ang tiwala ng tao sa teknolohiya, sa maraming pagkakataon, ay hindi talagang tiwala—ito ay pagkawala ng interes na mag-iiwan.
Ang code ay parang isang matandang gusali na patuloy na dinadagdagan, kung saan sa ilalim ay nakapipigil ang mga lumang protocol at library, habang sa itaas ay nakakabatid ang pansamantalang pangangailangan at “i-deploy muna,” at sa pinakatuktok ay nakakalat ang mga ancestral code na walang nagdududahan na tanggalin. Lumalabas ang ilaw sa loob ng gusali, patuloy pa ring umuupo at bumababa ang elevator, at sinasabi ng property management na lahat ay normal. Ngunit walang nakakaalam kung may mga butas ba sa mga pader.
Ang Heartbleed ay isang klasikong halimbawa. Isang butas sa OpenSSL na nagpapahintulot sa mga hacker na basahin ang mga pribadong key at password mula sa memorya ng server, na natuklasan at pinagbago lamang noong 2014. Bago pa man ito, nagtago ito nang higit sa dalawang taon, at noong panahong iyon, higit sa anim na porsyento ng lahat ng aktibong website sa buong mundo ay tumatakbo sa mga server na apektado. Dalawang taon na ang nakalipas, halos kalahati ng internet ay nasa malayong estado, at walang nakakaalam.
Kasama rin ang Baron Samedit ng sudo. Nang ipahayag ito ng Qualys noong 2021, ipinakita na ang butas na ito ay umiiral na sa sudo nang halos sampung taon, at ang sudo ay isa sa pinakakaraniwang tool para sa pagsasakop sa mundo ng Unix/Linux.
Marami pang katulad na halimbawa. Kapag isasama-samahin mo sila, biglang makikita mo na masaya na nakakapag-surfer tayo nang tahimik sa internet hanggang ngayon.
Bakit hindi napansin ang mga butas na ito sa loob ng tagal?
Simpleng sagot: sobrang mataas ang gastos para makahanap ng vulnerabilities.
Ang gastos ay hindi lang pera, kundi pati na rin oras at pagtitiyaga. Kailangan mong basahin ang code, itayo ang environment, maintindihan ang protocol, muling isulat ang mga boundary condition, sumulat ng verification code, matukoy ang sakop ng epekto, at makapagpasya kung ano ang false positive. Minsan, nagpapatakbo ang programa ng buong gabi ngunit walang resulta, sinubukan ang isang path hanggang sa dulo, at natuklasan na hindi ito maaaring gawin. Sa totoong buhay, ang mga security researcher at hacker ay madalas na nag-aaway-away sa isang hanay ng mga nasirang detalye.
Maraming butas sa nakaraan na nakakatago nang tagal, hindi dahil sobrang maliwanag sila, kundi dahil kaunti lang ang mga taong handa, may kakayahan, at patuloy na naghahanap.
Ang pagbabago na dulot ng AI ay ang istruktura ng gastos na ito.
Masyadong maraming sulok at kanto noon, maliit ang bilang ng flashlight. Ngayon, nagsimula nang magbigay ng flashlight sa malaking dami.
Ang iisang flashlight ay makakakita ng mga butas, at makakakita rin ng mga lugar kung saan maaaring mag-atake. Sa sandaling ginawa nito ang "pagkakita" na mas mura, parehong ginawa nito ang "pag-atake" na mas mura. Isang tao ay maaaring gamitin ito ngayon para magsumite ng isang mababang kalidad na ulat sa isang open-source project, at bukas ay maaari niyang gamitin ang parehong paraan upang i-scan ang sistema ng isang kumpanya; ngayon ay iniisip niya ang bounty ng vulnerabilities, bukas ay maaaring iniisip niya ang mga pondo sa chain.
Sa likod ng normal na pag-navigate sa internet
Bago mangyari ang totoong insidente, hindi natin mararamdaman ang pagkakaroon ng “internet security”.
Buksan mo ang Alipay, i-scan ang code, gawin ang pagbabayad, at maabot ang pera—ang buong proseso ay maaaring mas mababa sa tatlong segundo. Hindi mo isipin kung gaano karaming mga patakaran sa panganib, device fingerprint, pagkilala sa pag-uugali, pagtutol sa masamang aktibidad, pagtugon sa mga butas, at mga plano para sa emergency.
Noong Mayo 2026, ang AntSRC (Ant Security Response Center) ay nag-organisa ng isang bug bounty campaign na tinawag na “Operation Hunter”, na kumakalat sa lahat ng mga serbisyo tulad ng Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technologies, at Ant International. Para sa mataas na panganib at seriyosong vulnerabilities sa mga produkto na may kinalaman sa pagbabayad, transaksyon, at mga pondo, ang pinakamataas na reward ay 5 beses ang halaga, na maaaring umabot sa 71,500 yuan.
Naintindihan din ng mga malalaking kumpanya na hindi sila makakapag-antay lamang sa kanilang loobang tim upang makahanap ng lahat ng mga problema, kaya kailangan nilang isama ang mga eksternal na white hat sa kanilang opisyal na proseso. Mas parang mahabang serye ng pakikipagtulungan ang seguridad: mayroong nagtatagpo ng pag-atake, mayroong nagv-verify, nagtataya, nagpapabuti, at naglalabas, at kailangan din ng isang tao na laging nagmamasid upang hindi masaktan ang mga normal na user. Hindi makakapag-antay ang anumang bahagi ng seryeng ito.
Sa ulat ng kalagayan ng seguridad noong Oktubre 2025 ng Alibaba Cloud, binanggit na ang average na 6.245 bilyon na pag-atake ang tinutugon araw-araw para sa mga kliyente, at 27,500 na masasamang IP ang binansot; noong buwang iyon, 102,800 na DDoS na pag-atake ang nasubaybayan at natigil, na may peak na 2,100 Gbps.
Ang karaniwan nating tinatawag na “normal na pag-navigate sa internet” ay talagang isang maliit na daan na iniligtas para sa atin ng mga inhinyero ng seguridad mula sa isang malaking dami ng anomaliya. Hindi maiwasang tahimik ang internet.
Walang budget, walang jadwal, at walang emergency team ang mga tagapagpanatili ng open source; ang mga malalaking kumpanya ay maaaring bumili ng mga ito. Ngunit kahit ang mga malalaking kumpanya, kailangan pa rin nilang gamitin ang isang mahabang serye ng kolaborasyon sa tao upang i-press ang anumang anomaly sa antas na hindi makakaramdam ng mga karaniwang gumagamit.
Ang mahaba at madaling masira na serye ng pagtutulungan ay nasa maximum na kapasidad bago pa magsimula ang malawakang pag-input ng AI. Ngayon, ilalagay mo pa ang dalawang beses na bilang ng mga butas at mga ulat—sapat ba ang mga tao sa bahagi ng depensa?
Sino ang mag-aayos pagkatapos makita ang bug?
Ipinapahiwatig ng 2024 Cybersecurity Workforce Report ng ISC2 na mayroong humigit-kumulang 5.5 milyon na cybersecurity professional sa buong mundo, habang ang kakulangan sa talento ay umabot sa 4.8 milyon, na isang pagtaas ng 19% kumpara sa nakaraang taon. Ipinapaliwanag nito nang espesipiko na ang “kakulangan” ay hindi ang bilang ng mga posisyon na nakalista sa mga website ng paghahanap ng trabaho, kundi ang pagkakaiba sa pagitan ng bilang ng mga tao na kailangan ng mga organisasyon upang maging sapat na protektado at ang bilang ng mga taong available sa kasalukuyan.
Ang kahulugan ng mga numero na ito ay simpleng: maraming butas, kulang ang tao.
Hindi lang kulang ang bilang ng tao, kundi kulang din ang mga kayang gawin ang mga kumplikadong gawain. Sinabi rin ng ISC2 na 67% ng mga sumagot ay nagsabi na may kakulangan sa personnel sa cybersecurity sa kanilang organisasyon, at 58% ang naniniwala na ang kakulangang ito ay nagpapakita ng malaking panganib sa kanilang organisasyon. 31% ang nagsabi na wala silang entry-level na miyembro sa kanilang security team, at 15% ang nagsabi na wala silang entry-level na empleyado na may 1–3 taong karanasan. Maraming organisasyon ay hindi lang kulang sa tao, kundi kulang din sa mga paraan upang palakasin ang susunod na henerasyon.
Mas problema ito kaysa sa pagkakaroon ng hindi makakakuha ng tao. Ang pagkakaroon ng hindi makakakuha ng tao ay nangyayari ngayon; ang kakulangan ng mga entry-level na empleyado ay magdudulot ng pagkakaroon ng hindi makakakuha ng tao sa hinaharap.
Ang pagsusuri sa pag-unlad ng mga propesyonal sa industriya ng网络安全 sa panahon ng AI sa bansa ay nagbibigay din ng isang set ng datos: noong 2025, 46.2% ng mga sumasagot ay may taunang kita bago ang buwis na nasa pagitan ng 200,000 at 300,000 yuan. Handa ang merkado na magbayad para sa mga intermediate na propesyonal, dahil sobrang kakulangan ng mga taong talagang kayang harapin ang mga kumplikadong banta at gumawa ng desisyon sa panahon ng insidente. Ipinakita rin ng pagsusuri na 56.5% ng mga propesyonal ay nagsabi na ang AI ay nagbigay sa kanila ng mas maraming pansin sa pagsusuri ng mga kumplikadong banta, habang 33.0% ay nagsabi na sila ay nagpapalit mula sa pagpapatupad patungo sa paggawa ng estratehiya.
Mahalaga ito.
Ang kailangan namin ngayon ay ang tao na makakaintindi ng isang butas sa gitna ng gabi, makakasukat kung gaano kalaki ang epekto nito, makakapag-coordina sa mga nasa itaas at ibaba, at makakasulat ng patch. Ang seguridad ay hindi isang larangan na nakabatay sa isang biglaang ideya; ito ay isang maruming at pagod na trabaho. Ihiwalay ang salitang “cybersecurity,” at makikita mo lamang ang false positives, ang pagdudusa sa kasalanan, ang walang katapusan na mga patch, ang walang katapusang mga pagpupulong, at ang tawag sa tatlong gabi na nagpapagising sa iyo.
Ang Yersinia pestis ay hindi nagwawala
Isinulat ni Camus ang isang nobela na tinatawag na "The Plague".
Nangyari ang kuwento sa isang karaniwang maliit na lungsod sa Hilagang Aprika. Biglaang lumitaw ang isang pandemya, isinara ang mga pinto ng lungsod, at natirang nakakulong ang lahat ng tao. Napagbago ng isang gabi ang pang-araw-araw na buhay. Unang naging takot ang mga tao, pagkatapos ay naging walang pakialam, at sa huli ay naging kumportable na. Hanggang sa wakas ay umalis ang pandemya, buksan muli ang mga pinto ng lungsod, at muli nang umiikot ang tawa sa mga kalye.
Sa huling bahagi ng nobela, sinabi ni Camus: "Ayon sa mga medikal na rekord, ang mga bakterya ng plague ay hindi maiiwan o mawawala; maaari silang mabuhay nang ilang dekada sa mga kagamitan, damit, at mga kumot; sa mga silid, bodega, mga kahon ng paglalakbay, mga kamay, at basurang papel, sila'y naghihintay nang mapagkumbaba. Baka isang araw, magbabalik ang plague at magbabangon muli ang kanyang mga pusa, at ipapalayas sila sa isang masayang lungsod, upang muli pang magdulot ng kahirapan at magbigay ng muli ng aral."
Laging naniniwala ako na ang pangungusap na ito ay perpekto para ilarawan ang mga网络安全漏洞.
Hindi ito ipinanganak noong araw na ito ay natuklasan. Matagal nang naka-alam ito sa code, at dahil wala namang nakarinig ng kanyang hininga, isinapuso natin ang katahimikan bilang kaligtasan.
Ang mga pang-araw-araw na bagay na naging kaisipan nating hindi itatanong, lahat ay tumatakbo sa code. Mayroong lumang utang sa code, at dating hindi ito nagmamadaling bayaran dahil kaunti ang naghahanap nito. Ngunit noong dumating ang AI, biglaang dumami ang naghahanap.
Hindi lang nakakatakot na lalaki ang bilang ng mga hacker. Sa kabilang dulo ng sistema, hindi tumutumbok ang bilang ng mga taong nag-aayos ng mga problema.
Ito ang pinakamalaking hamon sa panahon ng AI at seguridad. Ang kakayahan ay magkakaroon ng sariling pagkalat, ngunit ang pagkakaroon ng responsibilidad ay hindi; ang paghahanap ng isang vulnerability ay naging mas mura na, ngunit ang pagpapabuti nito ay nananatiling magkano pa rin tulad dati. Ang pagkasira ay maaaring kopyahin ng script nang walang hanggan, ngunit ang tiwala ay maaaring mabuo lamang nang paulit-ulit, isang sistema at isang team sa isang pagkakataon.
Hindi gagawin ng AI na agad na sirain ang internet. Ang ginagawa nito ay parang pagpapaliwanag ng ilaw. Sa huli, nakikita natin na ang digital na buhay ay hindi isang natural na orden na gumagana nang sarili nito, kundi isang pangkat ng mga tao na araw-araw ay nagpapababa ng panganib hanggang sa hindi natin ito marinig.
Hindi ang paghahanap ng mga butas ang magiging totoo nang mahal sa hinaharap. Kundi kung may sapat pa bang mga tao na handang ayusin ang bawat butas, isang-isa.