Accueil
Actualités
Détails

Claude Opus 4.8 découvre une faille de 4,5 milliards de dollars dans le protocole Zcash

icon MarsBit
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Un chercheur en sécurité utilisant Claude Opus 4.8 d'Anthropic a découvert une faille de 4,5 milliards de dollars dans le protocole Orchard de Zcash, permettant une création illimitée de jetons. La faille a été découverte le 29 mai 2026 et confirmée par Zcash deux jours plus tard. Le prix de Zcash a chuté de 50 % après la divulgation du 5 juin. Cet incident montre comment l'IA facilite la découverte et l'exploitation de vulnérabilités, augmentant la pression sur les équipes de maintenance. Les altcoins à surveiller pourraient évoluer en fonction de la réaction de l'indice peur et avidité face à de tels risques.

Article | Sleepy

Quelqu'un a utilisé Claude Opus 4.8 pour découvrir une faille qui a fait disparaître 4,5 milliards de dollars de la capitalisation boursière d'une cryptomonnaie.

Le point de départ a été une audit de sécurité. Zcash est un réseau de confidentialité établi qui utilise des preuves à connaissance nulle pour protéger les informations de transaction, et Orchard est le cœur de cette capacité de transaction privée.

Le 29 mai, le chercheur en sécurité Taylor Hornby a découvert une vulnérabilité critique dans Orchard lors d'un audit de protocole commandé par Shielded Labs, permettant à un attaquant de créer des jetons de nulle part, soit une « inflation infinie ».

Zcash a ensuite effectué une mise à jour d'urgence quelques jours plus tard, et l'équipe officielle a confirmé l'existence de la vulnérabilité, mais n'a pas pu déterminer si quelqu'un l'avait déjà exploitée pour créer des jetons supplémentaires. Après la déclaration officielle du 5 juin, Zcash a chuté de 50 %.

Opus 4.8 d'Anthropic a été publié le 28 mai, et la vulnérabilité a été découverte le lendemain.

Ce n'est pas Mythos, c'est Opus

Cet événement de Zcash est effrayant, ce n'est pas que l'IA est puissante, c'est qu'elle a été trop ordinaire cette fois-ci.

Avant cela, l'industrie de la sécurité redoutait véritablement le Claude Mythos Preview d'Anthropic. En avril 2026, Anthropic a publié une évaluation des capacités en cybersécurité indiquant que Mythos Preview était capable d'identifier et d'exploiter des vulnérabilités zero-day dans les systèmes d'exploitation et les navigateurs principaux, certaines vulnérabilités étant extrêmement discrètes et présentes depuis plus de dix ans ; une faille dans OpenBSD remontait même à 27 ans.

L'évaluation indique également qu'un ingénieur sans expérience en sécurité pourrait faire fonctionner Mythos Preview toute la nuit à la recherche de vulnérabilités d'exécution de code à distance, et se réveiller le lendemain avec un ensemble complet d'exploits fonctionnels.

Cela signifie qu'une capacité autrefois accessible uniquement à un petit nombre de personnes sur le long terme devient un service que n'importe qui peut utiliser à tout moment. Cette capacité en elle-même n'a pas de position ; la différence réside uniquement en qui l'utilise et à quel fin.

Anthropic le comprend également. C'est pourquoi elle a lancé Project Glasswing, en fournissant d'abord Mythos Preview à un petit nombre d'organisations pour effectuer des travaux de sécurité défensive. Elle reconnaît également que ce niveau de modèle nécessite une protection plus robuste et des contraintes d'utilisation plus strictes avant d'être rendu accessible à tous.

Orchard

Dans le cas de Zcash, les techniciens n'utilisent pas Mythos encore verrouillé, mais Opus 4.8, déjà publié, disponible et intégré dans les flux de travail des utilisateurs ordinaires.

L'IA pénètre le domaine de la sécurité, permettant aux petites équipes d'avoir les capacités d'audit des grandes équipes. Elle permet aux mainteneurs de trouver plus rapidement les bogues et aux attaquants de comprendre plus rapidement les systèmes.

De plus, le modèle le plus dangereux n’est pas nécessairement le plus puissant, mais celui qui est suffisamment puissant, suffisamment bon marché et suffisamment répandu.

Plus le modèle est courant, plus il sera facile à utiliser. La question ne se pose plus de savoir si l'IA peut trouver des vulnérabilités, mais : que se passera-t-il quand tout le monde pourra les trouver ?

Quand chercher des bugs devient un mouvement de masse

Après que l'IA ait rendu la découverte de vulnérabilités moins coûteuse, deux choses apparaîtront.

L’un est faux : de nombreux rapports de sécurité qui semblent crédibles mais ne résistent pas à la vérification. L’autre est vrai : des vulnérabilités qui étaient auparavant cachées en profondeur dans les systèmes et qui nécessitaient des experts plusieurs semaines, voire plusieurs mois pour les découvrir, commencent désormais à être identifiées plus rapidement.

Le premier submergera les maintaineurs, le second percera le système. Ce qui est encore plus problématique, c’est qu’ils arriveront simultanément.

La sécurité informatique reposait autrefois sur un récit idéal : les hackers en blanc détectent des vulnérabilités, les divulguent de manière responsable, les fabricants les corrigent, et les utilisateurs en bénéficient.

Par le passé, le monde fonctionnait souvent selon ce récit. Mais lorsque l’IA abaisse la barrière pour « découvrir des vulnérabilités » et que tout le monde peut utiliser des modèles ouverts pour trouver des bugs, une foule de personnes arrivent, motivées par la recherche de récompenses ou la quête de réputation. Beaucoup d’entre elles se contentent de copier un prompt, laissant l’IA générer un rapport qui semble plausible. Le rapport n’est pas nécessairement vrai.

But regardless of whether it's true or not, the maintainers must take it seriously.

Orchard

OpenSSF a organisé en février 2026 une discussion sur les « rapports de vulnérabilités générés par l'IA », étudiant spécifiquement la manière dont les mainteneurs open source doivent répondre aux rapports de faible qualité générés par l'IA. curl a signalé qu'à mi-2025, seulement environ 5 % des soumissions de récompenses correspondaient à de véritables vulnérabilités, et environ 20 % semblaient être des contenus de mauvaise qualité générés par l'IA. OpenSSF affirme que ces rapports ressemblent à des attaques DDoS, sauf qu'ils ciblent l'attention humaine.

Les maintaineurs open source ne sont pas un centre de service client. Beaucoup d'entre eux ne perçoivent aucun salaire, n'ont pas d'équipe de sécurité ni de planning de garde. Pourtant, un seul projet peut soutenir d'innombrables systèmes commerciaux à travers le monde ; les entreprises qui réalisent d'énormes économies grâce à l'open source ne versent souvent rien aux maintaineurs ; mais dès qu'un problème survient, elles reviennent vers vous en demandant pourquoi vous n'avez pas corrigé plus tôt.

curl a ensuite fermé le programme de récompenses pour vulnérabilités car les personnes étaient épuisées. Les rapports de sécurité faisaient partie de la ligne de défense, mais lorsque ces rapports étaient submergés par du spam, cette ligne de défense se retournait contre les personnes qui la surveillaient.

L'IA donne à plus de personnes la capacité de soumettre des rapports de vulnérabilités, sans pour autant leur donner la capacité de juger de l'authenticité de ces vulnérabilités. Pouvoir faire générer un rapport par un modèle ne signifie pas le comprendre ; pouvoir exécuter un code de vérification ne signifie pas en comprendre l'ampleur réelle.

Mais ce qui est encore plus grave, c’est que nous vivons réellement dans un monde où l’IA permet de découvrir d’innombrables vulnérabilités.

Notre paix passée était une question de chance.

L'illusion la plus grande que l'Internet donne est que tout ce qui fonctionne est nécessairement fiable.

Votre téléphone peut effectuer des paiements, votre métro accepte les codes QR, votre hôpital permet de prendre rendez-vous en ligne ; votre disque cloud conserve même une photo que vous avez prise il y a dix ans, que vous avez oubliée, mais qui n’a pas été effacée. Ces choses fonctionnent chaque jour, et nous supposons donc qu’elles ne présentent aucun problème. La confiance des gens en la technologie est souvent moins une confiance qu’un manque de volonté de douter.

Le code ressemble à un vieil immeuble en construction continue, où des protocoles et bibliothèques anciens sont étouffés sous des exigences temporaires et des décisions du type « mettons en ligne d'abord », tandis que, au sommet, s'accumulent des codes hérités que personne n'ose supprimer. Les lumières sont allumées, l'ascenseur continue de monter et descendre, et la gestion affirme que tout va bien. Mais personne ne sait s'il y a des fissures dans les murs.

Orchard

Heartbleed en est un exemple typique. Une vulnérabilité dans OpenSSL permettait aux attaquants de lire les clés privées et les mots de passe dans la mémoire des serveurs, et elle n'a été découverte et corrigée qu'en 2014. Avant cela, elle avait été cachée pendant plus de deux ans, pendant lesquels plus de soixante pour cent des sites actifs dans le monde fonctionnaient sur des serveurs affectés. Pendant deux ans, presque la moitié d'Internet a été presque à nu, sans que personne ne le sache.

Et aussi Baron Samedit de sudo. Lors de sa divulgation par Qualys en 2021, il a été souligné que cette faille existait dans sudo depuis près de dix ans, et sudo est l’un des outils de privilèges les plus couramment utilisés dans le monde Unix/Linux.

Il existe de nombreux autres exemples similaires. En les regroupant, on se rend soudainement compte à quel point nous avons eu de la chance de pouvoir naviguer en toute sécurité sur Internet jusqu'à aujourd'hui.

Pourquoi ces vulnérabilités n’ont-elles pas été détectées aussi longtemps ?

La réponse est simple : le coût de trouver une faille est trop élevé.

Le coût ne se limite pas à l'argent, mais inclut aussi le temps et la patience. Il faut lire le code, configurer l'environnement, comprendre le protocole, reproduire les conditions limites, écrire du code de vérification, évaluer l'impact, et savoir distinguer les faux positifs. Parfois, un programme tourne toute la nuit sans résultat, on explore une voie jusqu'au bout, seulement pour découvrir qu'elle est infranchissable. Les chercheurs en sécurité et les hackers du monde réel se trouvent souvent en proie à une lutte acharnée contre une multitude de détails fragmentés.

Beaucoup de vulnérabilités ont pu rester cachées aussi longtemps non pas parce qu'elles étaient si mystérieuses, mais parce qu'il y a trop peu de personnes disposées, capables et déterminées à les chercher continuellement.

C'est précisément cette structure de coûts que l'IA change.

Avant, il y avait trop d'endroits reculés et trop peu de lanternes. Maintenant, les lanternes commencent à être produites en gros.

Une même lampe de poche peut révéler des fissures, ainsi que les points d'attaque possibles. Dès qu'elle rend la « découverte » peu coûteuse, elle rend aussi l'« attaque » peu coûteuse. Aujourd'hui, une personne utilise cette méthode pour soumettre un rapport de mauvaise qualité à un projet open source ; demain, elle peut utiliser la même méthode pour scanner les systèmes d'une entreprise ; aujourd'hui, elle pense aux récompenses pour vulnérabilités ; demain, elle pourrait avoir en vue les fonds sur la chaîne.

Derrière une connexion Internet normale

Avant qu’un véritable incident ne survienne, nous ne percevons pas la présence de la sécurité Internet.

Vous ouvrez Alipay, scannez un code, effectuez un paiement, et le montant est crédité en moins de trois secondes. Vous ne pensez pas à la quantité de règles de gestion des risques, de fingerprints d'appareils, de reconnaissance comportementale, de lutte contre les activités malveillantes, de réponse aux vulnérabilités et de plans d'urgence qui se cachent derrière.

En mai 2026, le Centre de réponse à la sécurité AntSRC de Ant a organisé une campagne de récompenses pour vulnérabilités intitulée « Opération Chasseur », couvrant les services tels que Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technologies et Ant International. Pour les vulnérabilités critiques et graves dans les produits liés aux transactions de paiement, aux fonds et aux factures, une récompense jusqu'à cinq fois supérieure pouvant atteindre 71 500 yuans a été offerte.

Les grandes entreprises savent bien qu'elles ne peuvent pas compter uniquement sur leurs équipes internes pour détecter tous les problèmes ; elles doivent donc intégrer les white hats externes dans leur processus officiel. La sécurité ressemble à une longue chaîne de collaboration : quelqu'un découvre une attaque, quelqu'un d'autre la vérifie, la classe, la corrige et la publie, tandis que quelqu'un d'autre surveille attentivement pour ne pas nuire aux utilisateurs légitimes. Aucun maillon de cette chaîne ne peut être rompu.

Le rapport de posture de sécurité d'Alibaba Cloud en octobre 2025 indique que la plateforme cloud défend en moyenne 6,245 milliards d'attaques par jour pour ses clients et bloque 27 500 IP malveillantes ; le mois a vu la détection et l'interception de 102 800 attaques DDoS, avec un pic de 2100 Gbps.

Orchard

Ce que nous appelons couramment « naviguer normalement sur Internet » est en réalité un chemin étroit que des ingénieurs de sécurité ont arraché à une quantité énorme d'anomalies. Internet n'a jamais été calme.

Les maintaineurs open source n'ont pas de budget, pas de planning ni d'équipe d'urgence ; les grandes entreprises peuvent acheter ces ressources. Mais même les grandes entreprises ne peuvent y parvenir qu'en s'appuyant sur une longue chaîne de collaboration humaine pour réduire les anomalies à un niveau imperceptible pour les utilisateurs ordinaires.

Cette chaîne de collaboration longue et fragile était déjà à pleine capacité avant que l’IA n’intervienne à grande échelle. Maintenant, en y injectant des vulnérabilités et des rapports en double quantité, les personnes chargées de la défense sont-elles suffisantes ?

Qui répare après la découverte d’une faille ?

Le rapport sur les talents en cybersécurité 2024 de ISC2 estime qu'il y a actuellement environ 5,5 millions de professionnels en poste dans le monde, avec un déficit de 4,8 millions, en hausse de 19 % par rapport à l'année précédente. Il explique spécifiquement que ce « déficit » ne correspond pas au nombre de postes affichés sur les sites d'emploi, mais à l'écart entre le nombre de professionnels que les organisations estiment nécessaire pour être pleinement protégées et le nombre réel de personnes disponibles.

The meaning of these numbers is simple: there are many vulnerabilities and not enough people.

Et ce n’est pas seulement un manque de personnel, mais un manque de personnes capables d’accomplir des tâches complexes. L’ISC2 a également indiqué que 67 % des répondants ont déclaré que leur organisation souffrait d’un déficit de personnel en cybersécurité, et 58 % estiment que ce déficit expose leur organisation à des risques significatifs. 31 % ont déclaré que leur équipe de sécurité ne comptait aucun employé débutant, et 15 % ont affirmé qu’ils n’avaient aucun employé junior avec 1 à 3 ans d’expérience. De nombreuses organisations manquent non seulement de personnel, mais aussi de canaux pour former la prochaine génération.

C’est plus problématique que de ne pas trouver de personnes. Ne pas trouver de personnes, c’est un problème d’aujourd’hui ; ne pas avoir d’employés juniors, c’est un problème qui empêchera de recruter à l’avenir.

Orchard

Le rapport « Développement des talents dans l'industrie de la cybersécurité à l'ère de l'IA » en Chine fournit également un ensemble de données : en 2025, 46,2 % des professionnels interrogés déclarent un salaire annuel brut compris entre 200 000 et 300 000 yuans. Le marché est prêt à payer les talents intermédiaires, car les personnes capables de gérer des menaces complexes et de prendre des décisions en cas d'incident sont extrêmement rares. Le rapport indique également que 56,5 % des professionnels affirment que l'IA leur permet de concentrer davantage leurs efforts sur l'analyse des menaces complexes, tandis que 33,0 % déclarent passer de la mise en œuvre à la définition de stratégies.

This is crucial.

Ce dont nous avons le plus besoin actuellement, c’est de quelqu’un qui peut, au milieu de la nuit, comprendre une vulnérabilité, évaluer son impact, coordonner les parties prenantes en amont et en aval, et rédiger un correctif. La sécurité n’est jamais une affaire d’inspiration soudaine ; c’est un travail pénible et fatigant. Décortiquez le terme « sécurité informatique » : il ne contient que des fausses alertes, des boucs émissaires, des correctifs interminables, des réunions sans fin, et ce coup de téléphone à 3 heures du matin qui vous réveille.

La peste n'a jamais disparu

Camus a écrit un roman intitulé La Peste.

L'histoire se déroule dans une petite ville ordinaire d'Afrique du Nord. Une peste éclate soudainement, les portes de la ville sont fermées et tout le monde est piégé à l'intérieur. La vie quotidienne s'effondre du jour au lendemain. Les gens sont d'abord pris de panique, puis deviennent apathiques, et enfin s'habituent. Jusqu'au jour où la peste disparaît enfin, les portes de la ville s'ouvrent à nouveau et les rues retrouvent leurs rires et ses joies.

À la fin du roman, Camus dit : « Selon les traités médicaux, le bacille de la peste ne meurt jamais ni ne disparaît ; il peut survivre pendant des décennies dans les meubles, les vêtements et les couvertures ; il attend patiemment dans les chambres, les caves, les valises, les mouchoirs et les papiers jetés. Peut-être qu’un jour, la peste réveillera ses rats pour les envoyer mourir dans une ville heureuse, afin de faire souffrir les hommes et de leur faire à nouveau prendre conscience. »

J'ai toujours pensé que ce texte était parfait pour décrire les vulnérabilités réseau.

Il n'est pas né le jour où il a été découvert. Il gisait déjà dans le code, personne n'avait entendu sa respiration, alors nous avons confondu le silence avec la sécurité.

Nos habitudes, que nous avons acceptées sans jamais les remettre en question, fonctionnent toutes sur du code. Ce code contient des dettes anciennes, qui n'étaient pas urgentes à rembourser parce qu'il y avait peu de créanciers. Depuis l'arrivée de l'IA, les créanciers se sont soudainement multipliés.

Ce qui est effrayant, ce n’est pas seulement que les pirates informatiques soient de plus en plus nombreux. De l’autre côté du système, les personnes chargées de résoudre les problèmes n’ont pas augmenté en proportion.

C’est précisément ce qui rend l’ère de la sécurité de l’IA si difficile : les capacités se propagent toutes seules, mais pas les responsabilités ; découvrir une faille devient de plus en plus bon marché, alors que la corriger coûte toujours autant qu’avant. La destruction peut être reproduite par script un nombre infini de fois, tandis que la confiance ne peut être reconstruite que lentement, système par système, équipe par équipe.

L’IA ne détruira pas l’Internet du jour au lendemain. Ce qu’elle fait, c’est plutôt allumer la lumière. Nous voyons enfin que la vie numérique n’a jamais été un ordre naturel qui fonctionne automatiquement, mais le résultat de personnes qui, jour après jour, réduisent les risques à un niveau imperceptible pour nous.

Ce qui sera vraiment coûteux à l'avenir, ce ne sera pas de trouver des vulnérabilités, mais de savoir s'il reste assez de personnes pour les réparer une par une.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.