Zcashが今週公表した重要な脆弱性により、AIとサイバーセキュリティの関係が再び注目を集めている。開発チームは、この脆弱性がプライバシーポール「Orchard」に存在し、理論上攻撃者がZECを無制限に偽造して発行できる可能性があると述べている。このメカニズムはプライバシー機能を備えており、現在のところ外界は暗号学的手法のみでは、この脆弱性が実際に悪用されたかどうかを確認できない。
このイベントがより大きな注目を集めたのは、脆弱性自体が深刻であるだけでなく、独立セキュリティ研究者のTaylor Hornbyが調査中にClaude Opus 4.8を使用したためです。より強力なAIモデルがコード監査、脆弱性発見、セキュリティテストの分野に導入されるにつれ、脆弱性が発見される速度はさらに加速する可能性があります。
Zcashの脆弱性は長年にわたり存在していた
Shielded Labsの開示によると、この問題は2022年5月にOrchardが有効化されて以来存在し、2026年6月1日の緊急パッチまで修正されなかった。この脆弱性が悪用された場合、攻撃者は無限のZECを偽造できるが、現在のところ、チェーン上にこのような偽造資産が実際に発生したかどうかは確認されていない。
この不確実性はすぐに市場に伝播しました。報道によると、ZECの価格は今週後半に明確に下落し、投資家がプライバシーチェーンの監査の難しさと過去のリスク暴露に懸念を抱いていることが反映されています。
AIはコードを書くことから脆弱性の発見へと移行している
初期のAIモデルは、コードの補完、ロジックの説明、エラーの特定などのためのプログラミングアシスタントとして主に利用されていました。モデルの能力が向上するにつれ、研究者はそれらをコードレビュー、ソフトウェア監査、脆弱性研究にも応用し始めました。業界関係者によると、AIは複雑なコードを読み取り、異常なパスを特定し、潜在的な攻撃面を組み合わせる効率が、多くの手動プロセスをはるかに上回っています。
ThreatLockerの共同創設者兼CEOであるDanny Jenkinsは、現在のAIシステムが既に脆弱性の発見を加速しており、より強力な新しいモデルがこの傾向をさらに拡大する可能性があると述べました。彼は、AIが脆弱性研究の障壁を下げ、より多くの人々がコードを分析し、弱点を見つけ、攻撃手法を構築できるようにしていると考えています。
テクノロジー企業はAIをセキュリティ研究に活用しています。
この傾向は暗号資産業界に限定されません。Anthropicは今週、Project Glasswingの利用範囲を拡大し、モデルがより広く公開される前にソフトウェアの脆弱性を特定・修正するために、150の企業および機関にClaude Mythosを提供しました。
以前、Mozillaは、AnthropicのモデルがFirefoxの数百の脆弱性を修正するのに役立ったことを明らかにした。マイクロソフトは5月に、プロキシ型脆弱性発見システム「MDASH」を導入し、これまで未知だったWindowsの脆弱性の特定に役立ったと述べている。研究者たちはまた、Mythos Previewを使用して、AppleのM5チップ向けの公開利用サンプルの生成に参加した。
暗号プロトコルはより直接的な圧力に直面しています
暗号資産およびDeFiプロジェクトにとって、リスクはより直接的です。関連するコードは通常オープンソースであり、チェーン上には実際の資金が存在するため、長年にわたり攻撃者やセキュリティ研究者の注目対象となってきました。AIがコード分析の効率を向上させることで、オープンソースプロトコルを迅速にスキャンし、欠陥を特定し、攻撃経路を構築する難易度は低下しています。
報道はデータを引用し、2026年上半期にDeFiプロジェクトが盗まれた金額は8億4千万ドルを超え、そのうち4月だけで6億ドル以上が被害に遭い、KelpDAOやDrift Protocolなどのプロジェクトが含まれていると述べている。一方で、攻撃者がAIコーディングエージェントを活用して偵察、資格情報の窃取、マルウェア開発などのタスクを自動化する「vibe hacking」と呼ばれる手法にも注目が集まっている。
しかし、セキュリティ専門家は、AIが攻撃者を支援するだけではないと指摘している。Blockaidの最高技術責任者であるRaz Nivは、AIがハッカーを置き換えるのではなく、ハッカーの能力を拡大し、攻撃者が複雑なタスクに集中できるようにしながら、反復的なタスクをモデルに任せることになると語っている。防御側にとっても、AIを活用した監視やシミュレーションは、攻撃の速度に追いつくためにセキュリティチームに不可欠なツールとなっている。