Página inicial
Notícias
Detalhes

Claude Opus 4.8 descobre falha de US$ 4,5 bilhões no protocolo Zcash

icon MarsBit
Compartilhar
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconResumo

expand icon
Um pesquisador de segurança que utilizou o Claude Opus 4.8 da Anthropic descobriu uma falha de US$ 4,5 bilhões no protocolo Orchard do Zcash, permitindo cunhagem ilimitada de tokens. O bug foi identificado em 29 de maio de 2026 e confirmado pelo Zcash dois dias depois. O preço do Zcash caiu 50% após a divulgação em 5 de junho. O incidente demonstra como a IA está facilitando a descoberta e exploração de vulnerabilidades, aumentando a pressão sobre as equipes de manutenção. As altcoins para acompanhar podem mudar à medida que o índice de medo e ganância reage a esses riscos.

Artigo de Sleepy

Alguém usou o Claude Opus 4.8 para encontrar um bug que fez o valor de mercado de uma criptomoeda desaparecer em US$ 4,5 bilhões.

O ponto de partida foi uma auditoria de segurança. O Zcash é uma rede de privacidade estabelecida que utiliza provas de conhecimento zero para proteger informações de transações, e o Orchard é o núcleo central dessa capacidade de transações privadas.

Em 29 de maio, o pesquisador de segurança Taylor Hornby descobriu uma vulnerabilidade grave no Orchard, durante uma auditoria do protocolo encomendada pela Shielded Labs, que permitia a um atacante criar moedas que não deveriam existir, ou seja, "inflação ilimitada".

O Zcash realizou posteriormente uma atualização de emergência nos dias seguintes, e a equipe oficial confirmou que a vulnerabilidade realmente existia, mas não pôde determinar se alguém já a havia explorado para emitir moedas adicionais. Após o comunicado oficial de 5 de junho, o Zcash caiu 50%.

O Opus 4.8 da Anthropic foi lançado em 28 de maio, e no dia seguinte, a vulnerabilidade foi descoberta.

Não é Mythos, é Opus

O evento do Zcash foi assustador, não porque a IA é forte, mas porque desta vez ela foi excessivamente comum.

Antes disso, o setor de segurança realmente temia o Claude Mythos Preview da Anthropic. Em abril de 2026, a Anthropic divulgou uma avaliação de capacidades de cibersegurança afirmando que o Mythos Preview conseguia identificar e explorar vulnerabilidades zero-day em sistemas operacionais e navegadores populares, algumas delas extremamente ocultas, com mais de uma década de existência; um bug no OpenBSD, por exemplo, remonta a 27 anos atrás.

A avaliação também afirma que um engenheiro sem experiência em segurança pode fazer o Mythos Preview procurar por vulnerabilidades de execução remota de código durante a noite e, ao acordar no dia seguinte, encontrar um conjunto completo e funcional de código de ataque.

Isso significa que uma habilidade que antes só poucos podiam dominar a longo prazo está se tornando um serviço que qualquer um pode acessar a qualquer momento. Essa habilidade em si não tem posição; a diferença está apenas em quem a está usando e para quê.

A Anthropic também entende isso. Por isso, criou o Project Glasswing, entregando inicialmente o Mythos Preview a um pequeno grupo de organizações para realizar trabalhos de segurança defensiva. Ela também reconhece que modelos desse nível exigem proteções mais robustas e restrições de uso mais rígidas antes de serem liberados para todos.

Orchard

Neste caso do Zcash, os técnicos não estão usando o Mythos ainda bloqueado, mas sim o Opus 4.8, que já foi lançado, está disponível e já foi integrado ao fluxo de trabalho de pessoas comuns.

A IA entrou no campo da segurança, permitindo que pequenas equipes tenham a capacidade de auditoria de grandes equipes. Ela permite que os mantenedores encontrem bugs mais rapidamente e que os atacantes compreendam os sistemas mais rapidamente.

E, além disso, o mais perigoso não é necessariamente o modelo mais forte, mas sim aquele que é suficientemente forte, suficientemente barato e suficientemente universal.

Quanto mais comum o modelo, mais pessoas poderão usá-lo. Assim, a questão não é mais se a IA consegue encontrar vulnerabilidades, mas: o que acontecerá quando todos puderem encontrá-las.

Quando procurar bugs se torna um movimento popular

Depois que a IA tornou a descoberta de vulnerabilidades mais barata, surgirão dois tipos de coisas.

Um tipo é falso: relatórios de segurança que parecem plausíveis, mas não resistem à verificação. O outro tipo é verdadeiro: vulnerabilidades que antes estavam escondidas profundamente no sistema e exigiam semanas ou até meses de trabalho de especialistas para serem encontradas também estão sendo descobertas mais rapidamente.

O primeiro sobrecarregará os mantenedores, o segundo romperá o sistema. E o mais problemático é que ambos ocorrerão ao mesmo tempo.

A segurança cibernética originalmente tinha uma narrativa ideal: hackers éticos descobrem vulnerabilidades, divulgam de forma responsável, as empresas corrigem e os usuários se beneficiam.

No passado, muitas vezes o mundo realmente funcionava de acordo com essa narrativa. Mas quando a IA reduziu a barreira para “descobrir vulnerabilidades” e todos puderam usar modelos públicos para encontrar bugs, entraram em cena muitas pessoas buscando recompensas e querendo aumentar sua reputação. Muitas delas simplesmente copiam um prompt e fazem o modelo gerar um relatório que parece plausível. O relatório nem sempre é verdadeiro.

Mas, seja verdadeiro ou não, os mantenedores precisam levar a sério.

Orchard

O OpenSSF realizou, em fevereiro de 2026, uma discussão sobre "Relatórios de Vulnerabilidade de IA", examinando como os mantenedores de código aberto devem lidar com relatórios de vulnerabilidades de baixa qualidade gerados por IA. O curl relatou que, até meados de 2025, apenas cerca de 5% das submissões de recompensas eram vulnerabilidades reais, e cerca de 20% pareciam ser conteúdo de baixa qualidade gerado por IA. O OpenSSF afirmou que esses relatórios são semelhantes a um ataque DDoS, exceto que atacam a atenção humana.

Os mantenedores de código aberto não são um centro de atendimento ao cliente. Muitos deles não recebem salário, não têm equipes de segurança nem escalas de plantão. Contudo, um único projeto pode sustentar inúmeros sistemas comerciais no mundo inteiro; empresas que economizam bilhões graças ao código aberto muitas vezes não pagam um centavo aos mantenedores; mas, assim que algo dá errado, todas voltam-se para você perguntando por que você não consertou antes.

O curl posteriormente encerrou o programa de recompensas por vulnerabilidades porque as pessoas não aguentavam mais. Os relatórios de segurança eram parte da linha de defesa, mas quando esses relatórios eram inundados com spam, essa linha de defesa passava a consumir as pessoas que a mantinham.

A IA deu a mais pessoas a capacidade de enviar relatórios de vulnerabilidades, mas não aumentou a capacidade de julgar a autenticidade dessas vulnerabilidades. Conseguir que o modelo gere um relatório não é o mesmo que entender esse relatório; conseguir executar um código de verificação também não significa compreender exatamente quão grave é o impacto.

E, o que é ainda mais grave, vivemos realmente em um mundo onde a IA pode encontrar inúmeras vulnerabilidades.

Nossa paz passada foi sorte

A maior ilusão que a internet causa é que tudo o que funciona é necessariamente confiável.

Seu celular pode fazer pagamentos, o metrô pode ser acessado por código QR, hospitais podem agendar consultas; até mesmo sua nuvem ainda armazena uma foto sua de dez anos atrás, que você já esqueceu, mas ela não esqueceu. Essas coisas trabalham todos os dias, e por isso damos por garantido que não têm nenhum problema. A confiança das pessoas na tecnologia, muitas vezes, não é confiança — é preguiça de duvidar.

O código é como um prédio antigo em constante expansão, com antigos protocolos e bibliotecas sobrecarregados na base, exigências temporárias e "lançar primeiro" empilhadas acima, e código legado que ninguém ousa remover no topo. As luzes estão acesas, o elevador continua subindo e descendo, e a administração diz que tudo está normal. Mas ninguém sabe se há rachaduras nas paredes.

Orchard

Heartbleed é um exemplo clássico. Uma vulnerabilidade no OpenSSL permitia que atacantes lessem chaves privadas e senhas na memória do servidor, e só foi descoberta e corrigida em 2014. Antes disso, ela havia permanecido oculta por mais de dois anos, enquanto mais de 60% dos sites ativos em todo o mundo operavam em servidores afetados. Durante dois anos, quase toda a metade da internet ficou exposta, sem ninguém saber.

Também há o Baron Samedit do sudo. Quando a Qualys o divulgou em 2021, apontou que essa vulnerabilidade já existia no sudo há quase uma década, e o sudo é uma das ferramentas de permissão mais utilizadas no mundo Unix/Linux.

Há muitos outros exemplos semelhantes. Vistos juntos, de repente percebemos que foi bastante sorte termos conseguido navegar com segurança na internet até hoje.

Por que essas vulnerabilidades não foram detectadas por tanto tempo?

A resposta é simples: o custo de encontrar vulnerabilidades é muito alto.

O custo não é apenas dinheiro, mas também tempo e paciência. É preciso ler o código, configurar o ambiente, entender o protocolo, reproduzir condições limite, escrever código de verificação, avaliar o impacto e saber distinguir o que é um falso positivo. Às vezes, o programa roda a noite inteira sem resultado, e após testar um caminho até o fim, descobre-se que ele simplesmente não é viável. Pesquisadores de segurança e hackers da vida real muitas vezes se deparam com a tarefa árdua de lidar com uma série de detalhes fragmentados.

Muitas vulnerabilidades permaneceram ocultas por tanto tempo não porque eram misteriosas, mas porque há muito poucas pessoas dispostas, capazes e determinadas a continuar procurando.

O que a IA altera é exatamente essa estrutura de custos.

Antes, havia muitos cantos e recantos escuros e poucas lanternas. Agora, as lanternas estão começando a ser produzidas em massa.

Uma mesma lanterna pode revelar rachaduras e também locais onde se pode agir. No momento em que torna a "descoberta" barata, torna também o "ataque" barato. Hoje, uma pessoa pode usar isso para enviar um relatório de baixa qualidade a um projeto de código aberto; amanhã, pode usar o mesmo método para varrer o sistema de uma empresa. Hoje, o que importa é a recompensa por vulnerabilidades; amanhã, o que pode importar é o dinheiro na cadeia.

Por trás da navegação normal

Antes de algo realmente acontecer, não percebemos a existência da "segurança da internet".

Você abre o Alipay, escaneia o código, paga e o valor é creditado — todo o processo pode levar menos de três segundos. Você não imagina quantas regras de controle de risco, impressões digitais de dispositivos, reconhecimento de comportamento, combate a atividades ilegais, respostas a vulnerabilidades e planos de emergência estão por trás disso.

Em maio de 2026, o AntSRC realizou uma campanha de recompensas por vulnerabilidades chamada "Operação Caçador", abrangendo os serviços Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technologies e Ant International. Para vulnerabilidades críticas e graves em produtos relacionados a transações de pagamento, fundos e faturas, a recompensa máxima pode chegar a 5 vezes o valor padrão, totalizando até 71.500 yuan.

As grandes empresas também sabem que não podem depender apenas de suas equipes internas para identificar todos os problemas, por isso precisam integrar organizações externas de white hats aos processos formais. A segurança é mais como uma longa cadeia de colaboração: alguém descobre o ataque, alguém verifica e classifica, alguém corrige e lança, e ainda precisa haver alguém dedicado a garantir que usuários legítimos não sejam afetados. Qualquer quebra nessa cadeia é inaceitável.

O relatório de postura de segurança da Alibaba Cloud em outubro de 2025 menciona que a plataforma em nuvem defendeu em média 6,245 bilhões de ataques por dia aos clientes e bloqueou 27.500 IPs maliciosos; no mês, foram monitorados e interceptados 102.800 ataques DDoS, com pico de 2.100 Gbps.

Orchard

O que chamamos normalmente de “navegação segura” é, na verdade, um caminho estreito que engenheiros de segurança arrancam para nós entre uma imensidão de anomalias. A internet nunca foi silenciosa.

Os mantenedores de código aberto não têm orçamento, não têm escala de turnos e não têm equipes de emergência; grandes empresas podem comprar essas coisas. Mas mesmo as grandes empresas só conseguem pressionar anomalias até um nível imperceptível aos usuários comuns por meio de uma longa cadeia de colaboração humana.

E essa cadeia de colaboração longa e frágil já estava sobrecarregada antes da intervenção em larga escala da IA. Agora, você está adicionando o dobro de vulnerabilidades e o dobro de relatórios—será que as pessoas do lado da defesa têm capacidade suficiente?

Quem conserta após encontrar a vulnerabilidade?

O relatório de profissionais de segurança cibernética da ISC2 de 2024 estima que existem aproximadamente 5,5 milhões de profissionais de segurança cibernética ativos globalmente, com uma lacuna de talentos de 4,8 milhões, um aumento de 19% em relação ao ano anterior. Ele explica especificamente que essa "lacuna" não se refere ao número de vagas listadas em sites de emprego, mas à diferença entre o número de profissionais que as organizações consideram necessários para estar plenamente protegidas e o número real de profissionais disponíveis.

O significado desses números é simples: há muitas falhas e pouca gente.

E não é apenas falta de pessoas, mas falta de pessoas capazes de realizar tarefas complexas. O ISC2 também mencionou que 67% dos entrevistados disseram que suas organizações enfrentam escassez de profissionais de segurança cibernética, e 58% consideram que essa escassez expõe suas organizações a riscos significativos. 31% disseram que suas equipes de segurança não têm funcionários iniciantes, e 15% afirmaram que não têm profissionais com 1 a 3 anos de experiência. Muitas organizações não apenas enfrentam falta de pessoal, mas também falta de canais para formar a próxima geração.

Isso é mais complicado do que não conseguir contratar pessoas. Não conseguir contratar pessoas é um problema de hoje; não ter funcionários júnior é um problema que afetará também o futuro.

Orchard

O relatório nacional “Relatório sobre o Desenvolvimento de Talentos na Indústria de Segurança Cibernética na Era da IA” também fornece um conjunto de dados: em 2025, 46,2% dos profissionais entrevistados tinham um salário anual bruto entre 200.000 e 300.000 yuans. O mercado está disposto a pagar por talentos centrais, pois pessoas realmente capazes de lidar com ameaças complexas e tomar decisões durante incidentes são extremamente escassas. O relatório também mostra que 56,5% dos profissionais afirmaram que a IA os ajudou a focar mais na análise de ameaças complexas, e 33,0% indicaram que estão passando da execução para a formulação de estratégias.

This point is crucial.

O que mais nos falta agora é alguém que consiga entender uma vulnerabilidade no meio da noite, avaliar seu impacto, coordenar as partes envolvidas e escrever um patch. Segurança nunca é um trabalho baseado em iluminações súbitas; é um trabalho sujo e cansativo. Se você desmontar a palavra "segurança cibernética", ela contém apenas falsos positivos, culpas, patches intermináveis, reuniões sem fim e aquela ligação às três da manhã que te acorda.

A bactéria da peste nunca desapareceu

Camus escreveu um romance chamado "A Peste".

A história ocorre em uma pequena cidade comum no norte da África. Uma peste surge de repente, as portas da cidade são fechadas e todos ficam presos dentro. A vida cotidiana se despedaça da noite para o dia. As pessoas inicialmente entram em pânico, depois se tornam insensíveis e, por fim, se acostumam. Até que, finalmente, a peste recua, as portas da cidade se reabrem e as ruas voltam a encher-se de risos e alegria.

No final do romance, Camus diz: "Segundo registros médicos, a bactéria da peste nunca morre nem desaparece; pode sobreviver por décadas em móveis, roupas e cobertores; aguarda pacientemente em quartos, porões, malas, lenços e papéis descartados. Talvez um dia, a peste acorde novamente seus ratos e os envie para morrer em alguma cidade feliz, trazendo sofrimento às pessoas e fazendo-as reaprender as lições."

Sempre achei que esta frase é perfeita para descrever vulnerabilidades de rede.

Não nasceu no dia em que foi descoberto. Já estava lá no código, e como ninguém ouvia sua respiração, confundimos o silêncio com segurança.

Nosso cotidiano, que nos acostumamos a aceitar sem questionar, roda inteiramente sobre código. Esse código contém dívidas antigas, que antes não precisavam ser pagas imediatamente porque havia poucos cobradores. Depois que a IA chegou, os cobradores subitamente aumentaram.

O que é assustador não é apenas que haverá mais hackers. Do outro lado do sistema, as pessoas que lidam com os problemas não aumentaram na mesma proporção.

Essa é a maior luta da era da segurança da IA. A capacidade se espalha sozinha, a responsabilidade não; descobrir uma vulnerabilidade está ficando cada vez mais barato, mas consertá-la ainda custa o mesmo que antes. A destruição pode ser copiada por scripts inúmeras vezes, mas a confiança só pode ser reconstruída lentamente, sistema por sistema, equipe por equipe.

A IA não destruirá a internet da noite para o dia. O que ela faz é mais como acender as luzes. Finalmente podemos ver que a vida digital nunca foi uma ordem natural que opera por si só, mas sim um grupo de pessoas que, dia após dia, reduzem os riscos até o ponto de não os percebermos.

O que realmente será caro no futuro não é encontrar vulnerabilidades, mas sim se ainda haverá pessoas suficientes dispostas a corrigi-las uma por uma.

Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações. Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.