Lubang kritikal yang diungkapkan oleh Zcash minggu ini semula lagi membawa hubungan antara AI dan keselamatan siber ke depan. Pembangun menyatakan bahawa lubang ini wujud dalam kolam privasi Orchard mereka, dan secara teori membolehkan penyerang mencetak ZEC palsu tanpa had. Disebabkan mekanisme ini bersifat privasi, pihak luar tidak dapat mengesahkan sama ada lubang tersebut pernah dimanfaatkan secara praktikal hanya melalui kaedah kriptografi.
Peristiwa ini menarik perhatian yang lebih besar bukan hanya kerana kelemahan itu sendiri serius, tetapi juga kerana penyelidik keselamatan bebas Taylor Hornby menggunakan Claude Opus 4.8 semasa penyelidikannya. Dengan model AI yang lebih kuat memasuki bidang audit kod, penggalian kelemahan, dan ujian keselamatan, kelajuan penemuan kelemahan mungkin terus meningkat.
Lubang keamanan Zcash telah wujud selama bertahun-tahun
Menurut pengungkapan Shielded Labs, masalah ini telah wujud sejak Orchard diaktifkan pada Mei 2022, dan baru ditutup pada pembaikan kecemasan pada 1 Jun 2026. Jika dimanfaatkan, penyerang boleh memalsukan jumlah ZEC yang tidak terhad, dan sehingga kini tiada pengesahan awam mengenai sama ada aset palsu semacam itu telah muncul di rantai.
Ketidakpastian ini dengan cepat menyebar ke pasaran. Laporan tersebut menyebutkan bahawa harga ZEC jelas menurun pada akhir minggu ini, mencerminkan kebimbangan pelabur terhadap kesukaran audit rantai privasi dan eksposur risiko sejarah.
AI sedang beralih dari menulis kod kepada mencari lubang keamanan
Model AI awal lebih banyak digunakan sebagai pembantu pemrograman untuk melengkapi kod, menjelaskan logik, dan mengesan ralat. Seiring peningkatan kemampuan model, penyelidik mulai menggunakannya untuk semakan kod, audit perisian, dan penyelidikan lubang keamanan. Ahli industri percaya bahawa AI telah jelas lebih berkesan daripada kebanyakan proses manual dalam membaca kod yang kompleks, mengesan laluan anomali, dan menggabungkan permukaan serangan yang berpotensi.
Danny Jenkins, pengetua dan rakan pengasas ThreatLocker, berkata sistem AI semasa sudah mempercepatkan penemuan lubang keamanan, dan model baru yang lebih kuat mungkin memperbesar trend ini lebih lanjut. Beliau percaya bahawa AI juga menurunkan rintangan untuk penyelidikan lubang keamanan, membolehkan lebih ramai orang menganalisis kod, mencari kelemahan, dan membina cara pemanfaatan.
Syarikat teknologi telah menggunakan AI untuk penyelidikan keselamatan
Tren ini tidak terhadap kepada industri kripto sahaja. Anthropic minggu ini memperluaskan penggunaan Project Glasswing, membuka akses Claude Mythos kepada 150 syarikat dan institusi untuk mengenal pasti dan membaiki kelemahan perisian sebelum pelancaran luas model tersebut.
Sebelum ini, Mozilla pernah mengungkapkan bahawa model Anthropic membantu Firefox memperbaiki ratusan kelemahan. Microsoft juga melancarkan sistem penemuan kelemahan berbasis agen bernama MDASH pada bulan Mei, dan menyatakan bahawa ia membantu mengenal pasti kelemahan Windows yang sebelum ini tidak diketahui. Para penyelidik juga pernah menggunakan Mythos Preview untuk menyertai penghasilan sampel eksploitasi awam yang ditargetkan kepada cip Apple M5.
Protokol kripto menghadapi tekanan yang lebih terus terang
Bagi projek kripto dan DeFi, risiko lebih langsung. Kod yang berkaitan biasanya sumber terbuka, dan dana sebenar disimpan di rantai, menjadikannya sasaran utama penyerang dan penyelidik keselamatan dalam jangka panjang. Dengan AI yang meningkatkan kecekapan analisis kod, kekerapan pemindanan, pengenalan kelemahan, dan pembinaan laluan serangan terhadap protokol sumber terbuka semakin berkurang.
Laporan tersebut mengutip data yang menunjukkan bahawa pada lima bulan pertama tahun 2026, jumlah yang dicuri daripada projek DeFi telah melebihi US$840 juta, dengan lebih daripada US$600 juta dicuri hanya pada bulan April, melibatkan projek seperti KelpDAO dan Drift Protocol. Sementara itu, apa yang dikenali sebagai "vibe hacking" juga menarik perhatian, di mana penyerang menggunakan agen pengkodean AI untuk secara automatik melaksanakan tugas-tugas seperti pengesanan, pencurian kredensial, dan pembangunan perisian jahat.
Namun, pakar keselamatan juga menunjukkan bahawa AI tidak hanya membantu penyerang. Ketua Teknologi Blockaid, Raz Niv, menyatakan bahawa perubahan yang lebih realistik bukanlah AI menggantikan perompak, tetapi memperkuat kemampuan perompak, membolehkan penyerang memfokuskan usaha mereka pada aspek yang lebih kompleks sambil menyerahkan tugas berulang kepada model. Bagi pihak pertahanan, bantuan AI dalam pemantauan dan simulasi kini menjadi alat penting bagi pasukan keselamatan untuk mengejar kelajuan serangan.