Uma vulnerabilidade crítica revelada na Zcash esta semana trouxe novamente à tona a relação entre IA e segurança cibernética. A equipe de desenvolvimento afirmou que a vulnerabilidade existe em seu pool de privacidade Orchard e, teoricamente, permitiria que atacantes emitam ZEC falsificadas ilimitadamente. Devido à natureza privada desse mecanismo, externamente não é possível confirmar, apenas por meio de criptografia, se a vulnerabilidade já foi explorada.
Este evento atraiu mais atenção não apenas por causa da gravidade da vulnerabilidade, mas também porque o pesquisador de segurança independente Taylor Hornby utilizou o Claude Opus 4.8 durante sua pesquisa. À medida que modelos de IA mais poderosos entram nos campos de auditoria de código, descoberta de vulnerabilidades e testes de segurança, a velocidade com que vulnerabilidades são encontradas pode continuar aumentando.
A vulnerabilidade do Zcash existe há muitos anos
De acordo com a divulgação da Shielded Labs, essa falha existia desde a ativação do Orchard em maio de 2022 até ser corrigida de emergência em 1º de junho de 2026. Se explorada, a vulnerabilidade permitiria que atacantes falsificassem quantidade ilimitada de ZEC, e atualmente não há confirmação externa de que tais ativos falsificados já tenham aparecido na cadeia.
Essa incerteza rapidamente se transmitiu ao mercado. O relatório mencionou que o preço do ZEC caiu significativamente no final desta semana, refletindo a preocupação dos investidores com a dificuldade de auditoria das cadeias de privacidade e a exposição a riscos históricos.
A IA está passando de escrever código a encontrar vulnerabilidades
Modelos de IA anteriores eram principalmente usados como assistentes de programação, para completar código, explicar lógicas e identificar erros. Com o aprimoramento das capacidades dos modelos, pesquisadores começaram a utilizá-los para revisão de código, auditoria de software e pesquisa de vulnerabilidades. Especialistas da indústria consideram que a IA já demonstra eficiência significativamente superior à maioria dos processos manuais na leitura de código complexo, na identificação de caminhos anômalos e na combinação de superfícies de ataque potenciais.
Danny Jenkins, cofundador e CEO da ThreatLocker, afirmou que os sistemas de IA atuais já estão acelerando a descoberta de vulnerabilidades, e novos modelos mais poderosos podem amplificar ainda mais essa tendência. Ele acredita que a IA também está reduzindo a barreira de entrada para a pesquisa de vulnerabilidades, permitindo que mais pessoas analisem código, identifiquem fraquezas e criem explorações.
As empresas de tecnologia já estão utilizando IA em pesquisas de segurança.
Essa tendência não se limita ao setor de criptomoedas. Esta semana, a Anthropic ampliou o uso do Project Glasswing, disponibilizando o Claude Mythos para 150 empresas e instituições, com o objetivo de identificar e corrigir vulnerabilidades de software antes do lançamento mais amplo do modelo.
Anteriormente, a Mozilla revelou que os modelos da Anthropic ajudaram o Firefox a corrigir centenas de vulnerabilidades. A Microsoft também lançou em maio um sistema de descoberta de vulnerabilidades baseado em agente chamado MDASH, afirmando que ele ajudou a identificar vulnerabilidades desconhecidas anteriormente no Windows. Pesquisadores também utilizaram o Mythos Preview para participar da geração de amostras de exploração públicas direcionadas ao chip M5 da Apple.
Os protocolos de criptografia enfrentam pressão mais direta
Para projetos de criptomoedas e DeFi, os riscos são mais diretos. O código relevante geralmente é de código aberto e carrega fundos reais na cadeia, tornando-o um alvo de foco contínuo para atacantes e pesquisadores de segurança. Com a IA aumentando a eficiência da análise de código, a dificuldade de escanear rapidamente protocolos de código aberto, identificar falhas e construir caminhos de ataque está diminuindo.
A report citando dados indica que, nos primeiros cinco meses de 2026, os valores roubados em projetos DeFi já superaram US$ 840 milhões, sendo mais de US$ 600 milhões apenas em abril, envolvendo projetos como KelpDAO e Drift Protocol. Ao mesmo tempo, o chamado "vibe hacking" também está gerando atenção, em que atacantes utilizam agentes de codificação baseados em IA para automatizar tarefas como reconhecimento, roubo de credenciais e desenvolvimento de malware.
No entanto, especialistas em segurança também apontam que a IA não ajuda apenas os atacantes. Raz Niv, CTO da Blockaid, afirma que a mudança mais realista não é a IA substituir hackers, mas sim amplificar a capacidade dos hackers, permitindo que os atacantes foquem seus esforços em etapas mais complexas e deleguem tarefas repetitivas aos modelos. Para os defensores, a assistência da IA em monitoramento e simulação também está se tornando uma ferramenta necessária para as equipes de segurança acompanharem a velocidade dos ataques.