Zcash, bu hafta ortaya çıkan kritik bir açığa işaret ederek, yapay zekâ ile siber güvenlik arasındaki ilişkiyi tekrar öne çıkardı. Geliştiriciler, bu açığın Orchard gizlilik havuzunda bulunduğunu ve teorik olarak saldırganların sonsuz sayıda sahte ZEC üretmesine izin verebileceğini belirtti. Bu mekanizmanın gizlilik özelliği nedeniyle, dış dünyada şifreleme yöntemleriyle bu açığın gerçekten kullanılıp kullanılmadığını doğrulamak mümkün değildir.
Bu olayın daha fazla ilgi çekmesinin nedeni sadece açıklığın ciddiyeti değil, bağımsız güvenlik araştırmacısı Taylor Hornby'nin araştırması sırasında Claude Opus 4.8'i kullanması da. Daha güçlü AI modelleri kod denetimi, güvenlik açıkları keşfi ve güvenlik testi alanlarına girdikçe, açıkların keşfedilme hızı devam edecektir.
Zcash'deki güvenlik açığı yıllardır var.
Shielded Labs'ın açıklamasına göre, bu sorun, Orchard 2022 Mayıs'ta etkinleştirildikten sonra var olmuş ve 2026 yılında 1 Haziran'da acil düzeltme yapılmaya kadar kapatılmamıştır. Bu açıklık kötüye kullanılırsa, saldırganlar sonsuz sayıda ZEC oluşturabilir; ancak şu ana kadar zincir üzerinde böyle sahte varlıkların ortaya çıkıp çıkmadığı dışarıdan doğrulanamamıştır.
Bu belirsizlik kısa sürede piyasaya yansıdı. Haberde, ZEC fiyatının bu haftanın son dönemlerinde belirgin şekilde düştüğü, yatırımcıların gizlilik zinciri denetimi zorluğu ve geçmiş risk maruziyeti konusundaki endişelerini yansıttığı belirtildi.
Yapay zeka, kod yazmaktan açıklar aramaya geçiyor
Erken AI modelleri çoğunlukla kod tamamlama, mantığı açıklama ve hata ayıklama amacıyla programlama yardımcıları olarak kullanılırdı. Model yeteneklerinin artmasıyla birlikte araştırmacılar, bu modelleri kod incelemesi, yazılım denetimi ve güvenlik açıkları araştırması için kullanmaya başladı. Endüstri uzmanları, AI'nın karmaşık kodları okuma, anormallik yollarını belirleme ve potansiyel saldırı yüzeylerini birleştirme konusundaki verimliliğinin, çoğu insan sürecinden açıkça daha yüksek olduğunu düşünüyor.
ThreatLocker ortak kurucusu ve CEO'su Danny Jenkins, mevcut AI sistemlerinin zafiyet keşfini zaten hızlandırdığını ve daha güçlü yeni modellerin bu eğilimi daha da güçlendirebileceğini ifade etti. Jenkins, AI'nın aynı zamanda zafiyet araştırması engelini düşürerek, daha fazla kişinin kodu analiz etmesine, zayıflıkları bulmasına ve exploit oluşturmasına olanak sağladığını düşündü.
Teknoloji şirketleri, AI'yi güvenlik araştırmalarında kullanıyor.
Bu eğilim sadece kripto endüstrisine sınırlı değildir. Anthropic, bu hafta Project Glasswing kullanımını genişleterek, Claude Mythos'u modelin daha geniş çapta yayınlanmasından önce yazılım açıklarını tanımlamak ve düzeltmek amacıyla 150 şirkete ve kuruma açtı.
Daha önce Mozilla, Anthropic'in modelinin Firefox'a yüzlerce güvenlik açığı düzeltmede yardımcı olduğunu açıklamıştı. Microsoft, Mayıs'ta MDASH adlı bir proxy tabanlı güvenlik açığı keşif sistemi tanıttı ve bu sistemin daha önce bilinmeyen Windows açılarını tanımlamaya yardımcı olduğunu belirtti. Araştırmacılar, Mythos Preview'i kullanarak Apple M5 çipine yönelik açık kaynaklı kullanımlar üretmeye katkıda bulunmuştu.
Kripto protokolleri daha doğrudan bir baskı ile karşı karşıya.
Kripto ve DeFi projeleri için risk daha doğrudur. İlgili kodlar genellikle açık kaynaklıdır ve zincir üzerinde gerçek para bulunur; bu nedenle uzun süredir saldırganlar ve güvenlik araştırmacılarının odak noktası haline gelmiştir. AI'nın kod analizi verimliliğini artırmasıyla, açık kaynaklı protokollerin hızlıca taranması, hataların belirlenmesi ve saldırı yollarının oluşturulması zorluğu azalmaktadır.
Rapor, 2026 yılının ilk beş ayında DeFi projelerinden 840 milyon doların üzerinde çalındığını, bunun yalnızca Nisan ayı için 600 milyon doları aştığını ve KelpDAO, Drift Protocol gibi projeleri kapsadığını belirtiyor. Aynı zamanda, saldırganların AI kodlama ajantlarını kullanarak istihbarat toplama, kimlik bilgileri çalma ve kötü amaçlı yazılım geliştirme gibi görevleri otomatikleştirdiği所谓的 "vibe hacking" olayları da dikkat çekiyor.
Ancak güvenlik uzmanları, AI'nın sadece saldırganlara yardımcı olmadığını da vurguluyor. Blockaid'in Baş Teknoloji Direktörü Raz Niv, daha gerçekçi değişimin AI'nın hakerleri yerine geçmesi değil, hakerlerin yeteneklerini güçlendirerek saldırganların çabalarını daha karmaşık aşamalara yönlendirmesi ve tekrarlayan görevleri modellere bırakması olduğunu söylüyor. Savunma tarafları için, AI destekli izleme ve simülasyon, güvenlik ekiplerinin saldırı hızını yakalamak için gerekli bir araç haline geliyor.