Zcash 本周披露的一項關鍵漏洞,再次將 AI 與網路安全的關係推到檯面上。開發方表示,此漏洞存在於其隱私池 Orchard 中,理論上可讓攻擊者無限增發偽造的 ZEC。由於該機制具備隱私特性,外界目前無法僅靠密碼學手段確認漏洞是否曾被實際利用。
這次事件之所以引發更大關注,不僅因為漏洞本身嚴重,還因為獨立安全研究員 Taylor Hornby 在研究過程中使用了 Claude Opus 4.8。隨著更強大的 AI 模型進入代碼審計、漏洞挖掘和安全測試領域,漏洞被發現的速度可能繼續加快。
Zcash 的漏洞已存在多年
根據 Shielded Labs 的披露,此問題自 Orchard 於 2022 年 5 月啟用後就已存在,直至 2026 年 6 月 1 日緊急修復才被堵上。若漏洞被利用,攻擊者可偽造無限數量的 ZEC,而外界目前無法確認鏈上是否已出現此類偽造資產。
這種不確定性很快傳導至市場。報導提到,ZEC 價格在本週後段明顯下跌,反映出投資者對隱私鏈審計難度和歷史風險暴露的擔憂。
AI 正從寫代碼轉向找漏洞
早期的 AI 模型更多被當作程式設計助手,用於補全程式碼、解釋邏輯和排查錯誤。隨著模型能力提升,研究人員開始將它們用於程式碼審查、軟體審計和漏洞研究。業內人士認為,AI 在閱讀複雜程式碼、定位異常路徑和組合潛在攻擊面的效率,已明顯高於大多數人工流程。
ThreatLocker 联合創始人兼 CEO Danny Jenkins 表示,當前的 AI 系統已加速漏洞發現,而更強大的新模型可能進一步放大這一趨勢。他認為,AI 同時也在降低漏洞研究的門檻,讓更多人能夠分析代碼、尋找弱點並構造利用方式。
科技公司已將 AI 用於安全研究
這一趨勢並不局限於加密行業。Anthropic 本周擴大了 Project Glasswing 的使用範圍,向 150 家公司和機構開放 Claude Mythos,用於在模型更廣泛發布前識別和修復軟體漏洞。
此前,Mozilla 曾披露,Anthropic 的模型幫助 Firefox 修復了數百個漏洞。微軟也在 5 月推出名為 MDASH 的代理式漏洞發現系統,並稱其幫助識別了此前未知的 Windows 漏洞。研究人員還曾使用 Mythos Preview,參與生成針對蘋果 M5 芯片的公開利用樣本。
加密協議面臨更直接的壓力
對於加密和 DeFi 項目來說,風險更為直接。相關代碼通常為開源,鏈上承載真實資金,使其長期以來都是攻擊者和安全研究人員重點關注的目標。隨著 AI 提升代碼分析效率,開源協議被快速掃描、定位缺陷和構造攻擊路徑的難度正在下降。
報導援引數據稱,2026 年前五個月,DeFi 項目被盜金額已超過 8.4 億美元,其中僅 4 月就超過 6 億美元,涉及 KelpDAO、Drift Protocol 等項目。與此同時,所謂「vibe hacking」也引發關注,即攻擊者藉助 AI 編碼代理自動完成偵察、憑證竊取、惡意軟體開發等任務。
不過,安全從業者也指出,AI 並不只會幫助攻擊者。Blockaid 首席技術官 Raz Niv 表示,更現實的變化不是 AI 取代駭客,而是放大駭客能力,讓攻擊者將精力轉向更複雜的環節,同時把重複性任務交給模型處理。對防守方而言,AI 輔助監控和模擬也正成為安全團隊追趕攻擊速度的必要工具。