Une faille critique révélée cette semaine dans Zcash ramène de nouveau au premier plan la relation entre l'IA et la cybersécurité. Le développeur indique que cette vulnérabilité se trouve dans son pool de confidentialité Orchard et pourrait théoriquement permettre à un attaquant de créer une quantité infinie de ZEC falsifiés. En raison de la nature privée de ce mécanisme, il n'est actuellement pas possible pour l'extérieur de confirmer, uniquement par des moyens cryptographiques, si la faille a été exploitée.
Cet incident a suscité une attention accrue non seulement en raison de la gravité du vulnérabilité, mais aussi parce que le chercheur en sécurité indépendant Taylor Hornby a utilisé Claude Opus 4.8 pendant sa recherche. Avec l'entrée de modèles d'IA plus puissants dans les domaines de l'audit de code, de la découverte de vulnérabilités et des tests de sécurité, la vitesse à laquelle les vulnérabilités sont détectées risque de continuer d'augmenter.
La vulnérabilité de Zcash existe depuis plusieurs années
Selon la divulgation de Shielded Labs, ce problème existait depuis l'activation d'Orchard en mai 2022 jusqu'à ce qu'une correction d'urgence soit appliquée le 1er juin 2026. En cas d'exploitation, un attaquant pourrait créer un nombre illimité de ZEC, et il n'est pour l'instant pas possible de confirmer si de tels actifs falsifiés ont déjà été observés sur la chaîne.
Cette incertitude s'est rapidement transmise au marché. Le rapport mentionne que le prix de ZEC a connu une baisse marquée en fin de semaine, reflétant les préoccupations des investisseurs concernant la difficulté d'audit des chaînes de confidentialité et les risques historiques exposés.
L'IA passe de l'écriture de code à la recherche de vulnérabilités
Les modèles d'IA précoces étaient principalement utilisés comme assistants de programmation pour compléter le code, expliquer la logique et diagnostiquer les erreurs. À mesure que leurs capacités ont progressé, les chercheurs ont commencé à les utiliser pour la revue de code, l'audit logiciel et la recherche sur les vulnérabilités. Les professionnels estiment que l'IA est désormais nettement plus efficace que la plupart des processus humains pour lire du code complexe, identifier des chemins anormaux et combiner des surfaces d'attaque potentielles.
Danny Jenkins, cofondateur et PDG de ThreatLocker, déclare que les systèmes d'IA actuels accélèrent déjà la découverte de vulnérabilités, et que de nouveaux modèles plus puissants pourraient amplifier davantage cette tendance. Il estime que l'IA réduit également les barrières à l'entrée pour la recherche sur les vulnérabilités, permettant à un plus grand nombre de personnes d'analyser le code, de rechercher des failles et de concevoir des exploits.
Les entreprises technologiques utilisent l'IA pour la recherche en sécurité.
Cette tendance ne se limite pas à l'industrie des cryptomonnaies. Cette semaine, Anthropic a élargi l'accès à Project Glasswing en ouvrant Claude Mythos à 150 entreprises et institutions afin d'identifier et de corriger des vulnérabilités logicielles avant la diffusion plus large du modèle.
Précédemment, Mozilla avait révélé que les modèles d'Anthropic avaient aidé Firefox à corriger des centaines de vulnérabilités. Microsoft a également lancé en mai un système de découverte de vulnérabilités basé sur un agent nommé MDASH, affirmant qu'il avait aidé à identifier des vulnérabilités Windows auparavant inconnues. Des chercheurs ont également utilisé Mythos Preview pour participer à la génération d'exemples d'exploitation publics ciblant la puce M5 d'Apple.
Les protocoles cryptographiques font face à une pression plus directe
Pour les projets de cryptomonnaies et de DeFi, les risques sont plus directs. Le code associé est généralement open source et des fonds réels y sont détenus sur chaîne, ce qui en fait depuis longtemps une cible privilégiée pour les attaquants et les chercheurs en sécurité. Avec l'essor de l'IA qui améliore l'efficacité de l'analyse de code, il devient de plus en plus facile de scanner rapidement les protocoles open source, d'identifier des défauts et de construire des chemins d'attaque.
Selon les données citées dans le rapport, les projets DeFi ont subi des vols pour un montant dépassant 840 millions de dollars au cours des cinq premiers mois de 2026, dont plus de 600 millions de dollars en avril seulement, impliquant des projets tels que KelpDAO et Drift Protocol. Parallèlement, le phénomène appelé « vibe hacking » suscite une attention croissante, consistant en des attaquants utilisant des agents de codage basés sur l'IA pour automatiser la reconnaissance, le vol d'identifiants et le développement de logiciels malveillants.
Cependant, les professionnels de la sécurité soulignent également que l’IA n’aide pas uniquement les attaquants. Raz Niv, chef technologue de Blockaid, affirme que le changement le plus réaliste n’est pas que l’IA remplace les pirates, mais qu’elle amplifie leurs capacités, permettant aux attaquants de concentrer leurs efforts sur des aspects plus complexes tout en déléguant les tâches répétitives aux modèles. Pour les défenseurs, l’assistance de l’IA à la surveillance et à la simulation devient un outil nécessaire pour que les équipes de sécurité rattrapent la vitesse des attaques.