Halaman Utama
Berita
Butiran

Claude Opus 4.8 Menemukan Lela $4.5B dalam Protokol Zcash

icon MarsBit
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRingkasan

expand icon
Seorang penyelidik keselamatan yang menggunakan Claude Opus 4.8 milik Anthropic menemui kelemahan bernilai $4.5B dalam protokol Orchard Zcash, yang membolehkan pencetakan token tanpa had. Kegagalan ini ditemui pada 29 Mei 2026, dan disahkan oleh Zcash dua hari kemudian. Harga Zcash jatuh 50% selepas pengumuman pada 5 Jun. Kejadian ini menunjukkan bagaimana AI membuatkan pencarian dan pemanfaatan kerentanan menjadi lebih mudah, menambah tekanan kepada pasukan penyelenggara. Altcoin yang perlu dipantau mungkin berubah seiring tindakan indeks takut dan serakah terhadap risiko seperti ini.

Tulisan oleh Sleepy

Seseorang menggunakan Claude Opus 4.8 menemui satu Lela yang menyebabkan kapitalisasi pasaran satu kripto wang hilang sebanyak $4.5 bilion.

Permulaan perkara ini adalah satu audit keselamatan. Zcash ialah rangkaian privasi lama yang menggunakan bukti pengetahuan sifar untuk melindungi maklumat transaksi, dan Orchard ialah tempat utama yang menjadi asas kemampuan transaksi privasi ini.

Pada 29 Mei, penyelidik keselamatan Taylor Hornby menemui kelemahan serius di Orchard dalam audit protokol yang dipesan oleh Shielded Labs, yang membolehkan penyerang mencipta token yang seharusnya tidak wujud, iaitu "penerbitan tanpa had".

Zcash kemudian menyelesaikan peningkatan kecemasan dalam beberapa hari, dengan pihak rasmi mengesahkan bahawa lubang itu memang wujud, tetapi tidak dapat mengesahkan sama ada ia telah dimanfaatkan untuk mencetak semula token. Selepas pengumuman rasmi pada 5 Jun, Zcash jatuh 50%.

Opus 4.8 dari Anthropic dilancarkan pada 28 Mei, dan kelemahan tersebut ditemukan pada hari berikutnya.

Bukan Mythos, tetapi Opus

Peristiwa Zcash ini menakutkan, bukan kerana AI kuat, tetapi kerana kali ini ia terlalu biasa.

Sebelum ini, industri keselamatan benar-benar takut terhadap Claude Mythos Preview dari Anthropic. Pada April 2026, Anthropic telah mengeluarkan penilaian kemampuan keselamatan siber yang menyatakan bahawa Mythos Preview mampu mengenal pasti dan memanfaatkan kelemahan zero-day dalam sistem operasi dan peramban utama, beberapa kelemahan sangat tersembunyi dan telah bersembunyi selama belasan tahun, salah satu kelemahan OpenBSD bahkan boleh ditelusuri kembali ke 27 tahun yang lalu.

Penilaian juga menyatakan bahawa seorang jurutera tanpa latar belakang keselamatan boleh membiarkan Mythos Preview berjalan sepanjang malam untuk mencari luka eksekusi kod jauh, dan bangun keesokan harinya untuk mendapati satu set kod serangan yang lengkap dan boleh digunakan.

Ini bermakna kemampuan yang dahulunya hanya boleh dikuasai secara berterusan oleh sedikit orang kini menjadi perkhidmatan yang boleh dipanggil oleh sesiapa sahaja pada bila-bila masa. Kemampuan ini sendiri tidak memihak; perbezaannya hanya terletak pada siapa yang menggunakannya dan untuk apa.

Anthropic sendiri memahami hal ini. Oleh itu, ia mewujudkan Project Glasswing, di mana Mythos Preview diberikan terlebih dahulu kepada sejumlah kecil organisasi untuk tujuan kerja keselamatan defensif. Ia juga mengakui bahawa model pada tahap ini memerlukan perlindungan yang lebih kuat dan batasan penggunaan yang lebih ketat sebelum boleh dibuka kepada semua orang.

Orchard

Dalam perkara Zcash ini, teknisi yang terlibat tidak menggunakan Mythos yang masih terkunci, tetapi Opus 4.8 yang telah dilancarkan, boleh digunakan, dan telah dimasukkan ke dalam alur kerja orang biasa.

AI memasuki bidang keselamatan, membolehkan pasukan kecil memiliki kemampuan audit seperti pasukan besar. Ia membolehkan pengekalan menemui ralat lebih cepat, dan penyerang memahami sistem lebih cepat.

Selain itu, yang paling berbahaya belum tentu model yang paling kuat, tetapi model yang cukup kuat, cukup murah, dan cukup umum.

Semakin biasa modelnya, semakin ramai yang boleh menggunakannya. Oleh itu, masalahnya bukan lagi sama ada AI boleh mencari lubang kelemahan, tetapi: apakah yang akan berlaku apabila semua orang boleh mencarinya.

Apabila mencari bug menjadi gerakan massa

Selepas AI menjadikan penemuan lubang keamanan lebih murah, dua perkara akan muncul.

Satu jenis adalah palsu, dengan banyak laporan keselamatan yang kelihatan meyakinkan tetapi tidak boleh diverifikasi. Jenis lain adalah yang benar-benar nyata, di mana lubang kelemahan yang sebelumnya tersembunyi di dalam sistem dan memerlukan pakar berbulan-bulan untuk mencarinya, kini juga ditemukan lebih cepat.

Yang pertama akan membanjiri penyelenggara, sementara yang kedua akan menembus sistem. Lebih rumit lagi, keduanya akan datang secara serentak.

Keselamatan siber seharusnya mempunyai naratif ideal: penemu lubang keamanan berpakaian putih menemui kelemahan, mengumumkannya secara bertanggungjawab, pengeluar memperbaikinya, dan pengguna mendapat manfaat.

Dalam banyak masa lalu, dunia memang berjalan mengikut naratif ini. Tetapi apabila AI menurunkan rintangan untuk "mengesan lubang keamanan", dan setiap orang boleh menggunakan model awam untuk mencari bug, yang masuk ialah ramai orang yang ingin mendapatkan ganjaran atau meningkatkan reputasi. Banyak daripada mereka hanya menyalin satu set petunjuk, meminta model menghasilkan laporan yang kelihatan meyakinkan. Laporan itu tidak semestinya benar.

Tetapi sama ada benar atau tidak, penjaga harus mengambilnya dengan serius.

Orchard

OpenSSF telah mengadakan perbincangan pada Februari 2026 mengenai «Laporan Sampah AI», yang secara khusus menyelidiki bagaimana pengekalan sumber terbuka harus menangani laporan kerentanan berkualiti rendah yang dihasilkan oleh AI. curl melaporkan bahawa pada pertengahan 2025, hanya sekitar 5% daripada penghantaran hadiah adalah kerentanan sebenar, dan sekitar 20% kelihatan seperti kandungan berkualiti rendah yang dihasilkan oleh AI. OpenSSF mengatakan bahawa laporan-laporan ini sangat serupa dengan DDoS, tetapi ia menyerang perhatian manusia.

Pengekalkan sumber terbuka bukan pusat perkhidmatan pelanggan. Banyak daripada mereka tidak mendapat gaji, tidak mempunyai pasukan keselamatan, dan tidak mempunyai jadual tugas. Namun, satu projek mungkin menyokong ribuan sistem perniagaan di seluruh dunia, dan syarikat-syarikat yang menghemat kos besar dengan menggunakan sumber terbuka mungkin tidak membayar pengekalkan sepeser pun; tetapi apabila berlaku masalah, mereka semua akan berpaling kembali dan bertanya mengapa anda tidak membaikinya lebih awal.

curl kemudian menutup projek bounty keselamatan kerana orang-orang tidak mampu menanggungnya. Laporan keselamatan seharusnya menjadi sebahagian daripada pertahanan, tetapi apabila laporan itu dipenuhi dengan spam, pertahanan ini justru akan menguras tenaga orang-orang di belakangnya.

AI memberikan lebih banyak orang kemampuan untuk menghantar laporan lubang keamanan, tetapi tidak meningkatkan kemampuan lebih banyak orang untuk menilai keaslian lubang keamanan tersebut. Mampu menghasilkan laporan melalui model tidak bermakna mampu memahami laporan tersebut; mampu menjalankan kod pengesahan tidak bermakna mampu menjelaskan sejauh mana kesannya.

Dan yang lebih berbahaya lagi, kita sebenarnya hidup dalam dunia di mana AI benar-benar boleh digunakan untuk mencari ribuan lubang.

Keselamatan kami di masa lalu adalah keberuntungan

Ilusi terbesar yang diberikan internet ialah bahawa apa sahaja yang boleh beroperasi pasti boleh dipercayai.

Telefon bimbit boleh membuat pembayaran, kereta bawah tanah boleh dipindai dengan kod, hospital boleh membuat tempahan; bahkan di cloud storage masih tersimpan gambar lama sepuluh tahun yang lalu yang anda sudah lupa, tetapi ia tidak lupa. Semua perkara ini bekerja setiap hari, jadi kita menganggapnya tidak ada masalah. Kepercayaan manusia terhadap teknologi sering kali bukan kepercayaan sebenar, tetapi malas untuk meragui.

Kod boleh disamakan dengan bangunan lama yang terus ditambah tingkat, di mana protokol lama dan pustaka lama ditekan di bawah, sementara keperluan sementara dan pendekatan “lancarkan dulu” ditimbun di atas, dengan kod warisan yang tiada siapa berani padam tertimbun di puncaknya. Lampu-lampu di dalam bangunan masih menyala, lif masih naik turun, dan pengurusan bangunan mengatakan semuanya normal. Tetapi tiada siapa yang tahu sama ada terdapat retakan di dalam dinding.

Orchard

Heartbleed adalah contoh klasik. Sebuah lalai dalam OpenSSL membolehkan penyerang membaca kunci peribadi dan kata laluan dari memori pelayan, dan ia baru ditemui serta diperbaiki pada tahun 2014. Sebelum itu, ia telah bersembunyi selama lebih daripada dua tahun, dan pada masa itu, lebih daripada enam puluh peratus laman web aktif di seluruh dunia berjalan di pelayan yang terjejas. Dua tahun penuh, hampir separuh internet berjalan tanpa perlindungan, dan tiada siapa yang tahu.

Baron Samedit sudo. Semasa Qualys mengungkapkannya pada tahun 2021, ia menunjukkan bahawa kelemahan ini telah wujud dalam sudo selama hampir sepuluh tahun, dan sudo adalah salah satu alat keizinan paling sering digunakan di dunia Unix/Linux.

Masih banyak contoh serupa. Apabila dilihat bersama-sama, tiba-tiba kita sedar betapa beruntungnya kita boleh berselancar dengan aman di internet hingga hari ini.

Mengapa lubang keamanan ini tidak dikesan selama begitu lama?

Jawapannya mudah: kos untuk mencari lubang terlalu tinggi.

Kos bukan hanya wang, tetapi juga masa dan kesabaran. Anda perlu membaca kod, memasang persekitaran, memahami protokol, mengulangi keadaan sempadan, menulis kod pengesahan, menilai kesan, serta mampu membezakan antara laporan palsu. Kadang-kadang, program berjalan sepanjang malam tanpa hasil, mencuba satu laluan sehingga habis, hanya untuk mendapati ia tidak mungkin dilalui. Penyelidik keselamatan dan perompak sebenar sering kali berhadapan dengan kekacauan butiran-butiran yang retak.

Banyak kelemahan sebelum ini boleh disembunyikan selama itu bukan kerana ia terlalu misterius, tetapi kerana terlalu sedikit orang yang bersedia, mampu, dan bersedia mencarinya terus-menerus.

AI yang mengubah struktur kos ini.

Dulu terlalu banyak sudut dan celah, tetapi senter terlalu sedikit. Sekarang senter sudah mulai dijual dalam jumlah besar.

Lampu suluh yang sama boleh memperlihatkan retakan, juga tempat yang boleh diserang. Pada ketika ia menjadikan "penemuan" lebih murah, ia juga menjadikan "serangan" lebih murah. Seseorang hari ini menggunakannya untuk menghantar laporan berkualiti rendah kepada projek sumber terbuka, esok boleh menggunakan kaedah yang sama untuk mengesan sistem syarikat; hari ini dia memikirkan hadiah kelemahan, esok mungkin dia memikirkan dana di rantai.

Di sebalik akses internet yang lancar

Sebelum benar-benar berlaku masalah, kita tidak merasakan kehadiran “keselamatan internet”.

Anda membuka Alipay, memindai kod, membuat pembayaran, dan dana masuk—keseluruhan proses mungkin kurang daripada tiga saat. Anda tidak akan terfikir berapa banyak peraturan pengurusan risiko, cap peranti, pengenalan tingkah laku, perlawanan terhadap industri gelap, respons kelemahan, dan rancangan kecemasan yang berada di belakangnya.

Pada Mei 2026, Pusat Respons Keselamatan Ant SRC menjalankan aktiviti ganjaran lubang kelemahan "Operasi Pemburu", dengan lingkungan ujian yang merangkumi Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technology, dan Ant International. Bagi lubang kelemahan berbahaya dan serius dalam produk kelas transaksi pembayaran, dana, dan bil, ganjaran tertinggi ialah 5 kali ganda, mencapai 71,500 yuan.

Syarikat besar juga sedar bahawa mereka tidak mungkin hanya bergantung pada pasukan dalaman untuk mengesan semua masalah, jadi mereka mesti mengintegrasikan organisasi white-hat luaran ke dalam proses rasmi. Keselamatan lebih seperti rantai kerjasama yang panjang: ada yang mengesan serangan, ada yang mengesahkan, mengkelaskan, membaiki, dan mengeluarkan, serta ada yang khusus memantau supaya pengguna biasa tidak terjejas. Rantai ini tidak boleh putus pada sebarang peringkat.

Laporan态势 keselamatan Alibaba Cloud pada Oktober 2025 menyatakan bahawa platform awan membela serangan sebanyak 6.245 bilion kali sehari secara purata untuk pelanggan, serta menghalang 27,500 IP jahat; pada bulan tersebut, ia memantau dan menghalang 102,800 serangan DDoS, dengan puncak mencapai 2100 Gbps.

Orchard

Apa yang kita sebut sebagai “berselancar secara normal” sebenarnya adalah jalan sempit yang dirampas oleh jurutera keselamatan daripada jumlah anomali yang besar. Internet tidak pernah tenang.

Pemelihara sumber terbuka tidak memiliki bajet, jadual tugas, atau pasukan kecemasan; syarikat besar boleh membeli perkara-perkara ini. Tetapi walaupun syarikat besar, mereka hanya boleh bergantung pada rantai kerjasama manusia yang panjang untuk menekan ketidakteraturan sehingga pengguna biasa tidak merasakannya.

Rantai kerjasama yang panjang dan rapuh ini sudah beroperasi pada kapasiti penuh sebelum AI menyusup secara besar-besaran. Sekarang, anda membanjirinya dengan gandaan lubang keamanan dan gandaan laporan—adakah pihak pertahanan cukup?

Siapa yang akan memperbaiki selepas menemui lubang kelemahan?

Laporan Tenaga Kerja Keselamatan Siber ISC2 2024 menganggarkan bahawa terdapat sekitar 5.5 juta profesional keselamatan siber yang sedang bekerja di seluruh dunia, dengan jurang tenaga kerja mencapai 4.8 juta, meningkat 19% berbanding tahun sebelumnya. Laporan ini menjelaskan bahawa jurang ini bukan merujuk kepada bilangan jawatan yang dipaparkan di laman web kerja, tetapi perbezaan antara jumlah tenaga yang organisasi percaya diperlukan untuk melindungi mereka sepenuhnya, dan bilangan tenaga yang benar-benar tersedia.

Maksud nombor-nombor ini adalah sangat mudah: terdapat banyak lubang, tetapi orang tidak mencukupi.

Dan bukan sahaja kekurangan tenaga kerja, tetapi kekurangan orang yang mampu melakukan tugas-tugas kompleks. ISC2 juga menyatakan bahawa 67% responden mengatakan organisasi mereka mengalami kekurangan tenaga keselamatan siber, dan 58% percaya kekurangan ini menjadikan organisasi mereka menghadapi risiko yang ketara. 31% mengatakan pasukan keselamatan mereka tidak mempunyai pekerja peringkat permulaan, dan 15% mengatakan tiada pekerja peringkat awal dengan pengalaman 1–3 tahun. Banyak organisasi tidak hanya kekurangan tenaga, tetapi juga kekurangan saluran untuk membina generasi seterusnya.

Ini lebih rumit daripada tidak dapat merekrut orang. Tidak dapat merekrut orang adalah masalah hari ini; tanpa pekerja pemula, anda tidak akan dapat merekrut orang di masa depan.

Orchard

Laporan Perkembangan Tenaga Kerja Industri Keselamatan Siber di Era AI di dalam negara juga menyediakan satu set data: Pada tahun 2025, 46.2% responden bekerja dengan gaji tahunan sebelum cukai antara 200,000 hingga 300,000 yuan. Pasar bersedia membayar untuk tenaga kerja inti, kerana individu yang benar-benar mampu menangani ancaman kompleks dan membuat keputusan semasa insiden sangat langka. Laporan tersebut juga menunjukkan bahawa 56.5% responden menyatakan bahawa AI membolehkan mereka meletakkan lebih banyak fokus kepada analisis ancaman kompleks, manakala 33.0% menyatakan bahawa mereka sedang berpindah dari peringkat pelaksanaan kepada perancangan strategik.

Ini sangat penting.

Yang paling kami kurangkan sekarang ialah orang yang mampu memahami kelemahan pada waktu tengah malam, menilai sejauh mana kesannya, mengkoordinasikan pihak-pihak terkait, dan menulis pemaaf. Keselamatan tidak pernah menjadi bidang yang bergantung pada ilham tiba-tiba; ia adalah kerja yang kotor dan meletihkan. Bongkar perkataan “keselamatan maya”, di dalamnya hanya terdapat isyarat palsu, tanggungjawab yang salah, pemaaf yang tiada hentinya, mesyuarat yang tiada habisnya, dan panggilan telefon yang membangunkan anda pada pukul 3 pagi.

Bakteri pes tidak pernah hilang

Camus menulis sebuah novel berjudul "The Plague".

Cerita berlaku di sebuah bandar kecil biasa di Afrika Utara. Wabak tiba-tiba meletus, pintu bandar ditutup, dan semua orang terperangkap di dalamnya. Kehidupan harian hancur dalam semalam. Orang-orang pertama-tama panik, kemudian menjadi tak peduli, lalu akhirnya terbiasa. Hingga wabak itu akhirnya reda, pintu bandar dibuka semula, dan suara tawa kembali terdengar di jalan-jalan.

Di penghujung novelnya, Camus berkata: "Menurut catatan perubatan, bakteria pes tidak pernah mati sepenuhnya atau hilang; ia boleh bertahan selama puluhan tahun di perabot, pakaian, dan selimut; menunggu dengan sabar di ruangan, ruang bawah tanah, kotak perjalanan, sapu tangan, dan kertas buruk. Mungkin suatu hari nanti, pes akan membangkitkan semula kumpulan tikusnya, menyebabkan mereka mati di sebuah bandar yang bahagia, supaya manusia kembali mengalami bencana dan belajar pelajaran sekali lagi."

Saya selalu rasa, ayat ini sangat sesuai digunakan untuk menggambarkan kelemahan rangkaian.

Ia bukan lahir pada hari ia ditemui. Ia sudah lama berbaring dalam kod, dan tiada siapa yang mendengar nafasnya, jadi kita menyangka keheningan sebagai keselamatan.

Kehidupan harian yang telah kita anggap biasa tanpa meragukannya semuanya berjalan di atas kod. Kod itu mengandungi hutang lama, yang dahulu tidak perlu dibayar segera kerana jumlah penagih hutang sedikit. Selepas AI muncul, jumlah penagih hutang tiba-tiba bertambah banyak.

Yang menakutkan bukan hanya bilangan peretas yang bertambah. Di sisi sistem lain, orang yang menangani masalah tidak bertambah mengikut nisbah yang sama.

Inilah titik paling sukar dalam era keselamatan AI. Kemampuan akan merebak dengan sendirinya, tetapi tanggung jawab tidak; menemukan satu kelemahan menjadi semakin murah, tetapi memperbaikinya tetap seharga dulu. Kerusakan boleh disalin beribu-ribu kali melalui skrip, tetapi kepercayaan hanya boleh dibina semula secara perlahan-lahan, satu sistem dan satu pasukan pada satu masa.

AI tidak akan menghancurkan internet dalam semalam. Apa yang dilakukannya lebih seperti menyalakan lampu. Akhirnya kita melihat, kehidupan digital bukanlah suatu tatanan alami yang berjalan otomatis, tetapi hasil usaha sekelompok orang yang setiap hari mengurangi risiko hingga kita tidak merasakannya.

Yang akan benar-benar mahal di masa depan bukanlah mencari lubang keamanan, tetapi adakah cukup banyak orang yang bersedia memperbaiki lubang demi lubang satu per satu.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.