في 29 مايو، كشف إطار العمل عن تناقض منطقي أغفلته فرق التدقيق البشرية عبر العديد من عمليات التدقيق الرسمية منذ تفعيل أوركارد في مايو 2022 . لم يكتفِ هورنبي بتوثيق نقطة ضعف نظرية؛ بل استخدم النهج المدعوم بالذكاء الاصطناعي لكتابة استغلال عملي نجح في سك عملات ZEC مزيفة في بيئة اختبار محلية
. سرعة الاكتشاف - خلال يوم واحد فقط من إطلاق النموذج للعامة - تؤكد على قفزة نوعية فيما يمكن أن يحققه البحث الأمني المدعوم بالذكاء الاصطناعي
.
من المهم التأكيد على أن هذا الاختراق كان ثمرة تعاون بين خبير بشري ماهر ونموذج ذكاء اصطناعي متطور. قدم الذكاء الاصطناعي استدلالاً منهجياً وتعرفاً على الأنماط عبر قاعدة شيفرات ضخمة، بينما قام الباحث البشري بتأطير المشكلة، وبناء أداة التدقيق، والتحقق من النتائج .
كانت الثغرة عبارة عن خلل خطير في 'السلامة' (soundness) لدائرة مجمّع أوركارد، وهي الآلية الأساسية لخصوصية معاملات Zcash . في نظام إثباتات المعرفة الصفرية، تعني 'السلامة' أنه يجب أن يكون من المستحيل حسابياً إنشاء دليل إثبات صالح لبيان خاطئ. كانت دائرة أوركارد تحتوي على عنصر 'غير مقيّد بشكل كافٍ' (under-constrained) يكسر هذه الخاصية.
بالتفصيل، كانت هناك قيمة عميقة داخل صندوق أدوات هالو2 (Halo2 gadgets crate) غير مرتبطة بنقطة أساس حقيقية، مما سمح فعلياً بتمرير مدخلات رياضية غير صالحة عبر فحص يعتمد على المنحنيات الإهليلجية (elliptic-curve) . بعبارة أبسط، هناك فحص كان من المفترض أن يتحقق من صحة مدخلات المعاملات لم يكن يطبق القواعد التي يفترض أن يطبقها فعلياً
. النتيجة: يمكن للمهاجم تزوير إثباتات معرفة صفرية صالحة تخوله إنشاء كميات غير محدودة من عملات ZEC المزيفة داخل المجمّع الخاص.
نظراً لأن معاملات أوركارد خاصة بطبيعتها، فإن العملات المزيفة ستكون غير قابلة للتمييز عن العملات الشرعية على سلسلة الكتل (blockchain) . لن تكون هناك طريقة لتدقيق سلسلة الكتل ورؤية العرض المزيف. كانت هذه الثغرة حية منذ تقديم أوركارد في مايو 2022، مما يعني أنها استمرت دون اكتشاف لمدة أربع سنوات تقريباً
.
من المهم أيضاً أنه بسبب خصائص خصوصية أوركارد وطبيعة الثغرة، صرحت مختبرات شيلدد بأنه لا توجد طريقة تشفيرية لتحديد ما إذا كان قد تم استغلال الثغرة من قبل في أي وقت مضى . أصبح عدم اليقين هذا مصدراً رئيسياً للقلق بعد الكشف عنها.
بمجرد أن أبلغ هورنبي عن الثغرة لمختبر التطوير المفتوح لـ Zcash (Zcash Open Development Lab)، جاءت الاستجابة سريعة :
أكد ويلكوكس أن التحديث تم نشره بنجاح قبل الإعلان العلني، مما يعني عدم فقدان أي أموال بسبب الاستغلال بعد الكشف . اتبع نهج 'التصحيح أولاً، الكشف ثانياً' الممارسة القياسية لإدارة الثغرات، لكن السرعة المطلوبة - من الاكتشاف إلى تحديث الشبكة بالكامل في ثلاثة أيام - كانت استثنائية.
بعد الإصلاح الطارئ، طلبت مختبرات شيلدد من أنثروبيك إجراء تدقيق منفصل للبروتوكول بالكامل باستخدام نموذجها المتقدم المقيد 'ميثوس' (Mythos). أكد هذا التدقيق عدم وجود ثغرات خطيرة إضافية في البروتوكول حتى 12 يونيو 2026 . ساعدت هذه المراجعة الشاملة في استعادة الثقة جزئياً، على الرغم من بقاء الشك الأساسي حول الاستغلال قبل التحديث.
كان رد فعل الأسواق قاسياً على الكشف العلني في 4 يونيو. انخفض سعر ZEC بنسبة تتراوح بين 40% و 50% في الأيام التالية، حيث وصفت التقارير العملة بأنها 'كانت عند مستويات أعلى بكثير قبل أسابيع' ودخلت في دوامة هبوط حادة . تشير مصادر متعددة إلى نطاق انخفاض بين 31% و 50%، مع الإشارة الأكثر شيوعاً إلى ما يقرب من 40% إلى 50%
.
عكست موجة البيع حالة من الذعر على عدة جبهات. أولاً، الخطورة الهائلة للثغرة نفسها - إمكانية تزوير لا نهائي وغير قابل للاكتشاف في عملة خصوصية رئيسية - قوضت الثقة الأساسية في ضمانات أمان البروتوكول. ثانياً، حقيقة أن نموذج ذكاء اصطناعي وجد عيباً أغفلته سنوات من التدقيق البشري الرسمي أثارت أسئلة مقلقة حول السطح الهش للثغرات في العملات الرقمية الأخرى، بما في ذلك الإيثريوم . ثالثاً، ترك الشك الدائم حول ما إذا كانت الثغرة قد استُغلت بالفعل عجزاً في الثقة لا يمكن للإصلاح التقني وحده سده
.
أعاد المتداولون تقييم أمان واحدة من أبرز شبكات الخصوصية في عالم العملات الرقمية، وكانت إعادة التسعير سريعة وشديدة .
يُنظر إلى حادثة Zcash على نطاق واسع على أنها لحظة فارقة لإمكانات الاستخدام المزدوج للذكاء الاصطناعي في أمن البرمجيات الحيوية .
القيمة الدفاعية واضحة. نموذج ذكاء اصطناعي، جنباً إلى جنب مع توجيه خبير بشري، وجد خطأً كارثياً أغفلته فرق التدقيق البشرية لمدة أربع سنوات - وحدث هذا في غضون يوم واحد من إطلاق النموذج . يوضح هذا أن الذكاء الاصطناعي المتطور يمكنه تحسين سرعة وعمق وشمولية عمليات التدقيق الأمني للأنظمة التشفيرية المعقدة بشكل كبير. يشير تدقيق ميثوس اللاحق الذي أعطى الضوء الأخضر لبقية البروتوكول إلى مستقبل يصبح فيه التدقيق المستمر القائم على الذكاء الاصطناعي ممارسة قياسية للبنى التحتية عالية المخاطر
.
كما أظهر نهج هورنبي - بناء إطار عمل وكيل مخصص بدلاً من مجرد توجيه أسئلة للنموذج - أن أقوى التطبيقات الدفاعية تأتي من دمج الذكاء الاصطناعي في مهام سير العمل الأمنية المنهجية، وليس معاملته كوسيط مستقل.
الآثار الهجومية مقلقة بنفس القدر. يمكن استخدام نفس القدرة التي وجدت هذه الثغرة كسلاح من قبل جهات خبيثة لاكتشاف واستغلال ثغرات يوم الصفر (zero-day) بسرعة الآلة . إذا قامت مجموعة قبعة سوداء بتطبيق تقنيات مماثلة على Zcash قبل أن يفعلها باحث قبعة بيضاء، لكان بإمكانهم سك عملات مزيفة غير محدودة بصمت، وسحب السيولة، والاختفاء - كل ذلك قبل نشر أي تصحيح.
وصفت وكالة بلومبرج الحدث بأنه يُظهر 'حجم تهديد القرصنة بالذكاء الاصطناعي' . وأشارت بلومبرج ومنافذ إخبارية أخرى إلى أن الحادث أثار أسئلة ملحة حول ما إذا كانت معايير الكشف المسؤول الحالية تتناسب مع الثغرات التي يتم اكتشافها بسرعة الذكاء الاصطناعي
. عندما يستطيع الذكاء الاصطناعي العثور على عيب خطير في ساعات، تنهار نافذة التنسيق للتصحيح قبل الاستغلال العدائي.
حذر باحثون أمنيون من أن هذا ليس قلقاً نظرياً. حادثة Zcash هي أول مثال مؤكد علناً، لكنها بالتأكيد لن تكون الأخيرة .
لعل أكثر جوانب الحلقة بأكملها إزعاجاً هو عدم اليقين الذي لا يمكن حله. نظراً لأن Zcash هي عملة خصوصية، فلا توجد طريقة لإثبات ما إذا كانت الثغرة قد استُغلت خلال عمرها البالغ أربع سنوات بشكل تشفيري . رأى فريق التطوير أن الاستغلال 'غير مرجح'، لكنهم أقروا بأنهم لا يستطيعون تأكيد ذلك حرفياً
. هذا يخلق مشكلة ثقة دائمة - ليس فقط لـ Zcash، ولكن لأي نظام يحافظ على الخصوصية حيث يمكن أن يكون قد تم استغلال عيب بصمت قبل اكتشافه.
تمثل حادثة Zcash نهاية الحقبة التي كان يمكن فيها الاعتماد فقط على عمليات التدقيق البشري الدورية لأمن بروتوكولات التشفير. أصبح اكتشاف الثغرات بمساعدة الذكاء الاصطناعي الآن قدرة مثبتة، مع كل ما تنطوي عليه من قوة غير متكافئة.
بالنسبة لمطوري البروتوكولات، الآثار واضحة: دمج نماذج الذكاء الاصطناعي المتطورة في خطوط مراجعة الأمان المستمرة لم يعد اختيارياً - إنه أمر حتمي، لأن الخصوم سيفعلون الشيء نفسه بالتأكيد. بالنسبة لمجتمع الذكاء الاصطناعي، يعزز الحدث الحاجة إلى نشر مدروس للقدرات التي يمكن إعادة توظيفها بسهولة لأغراض هجومية. وبالنسبة للنظام البيئي الأوسع للعملات الرقمية، فهو بمثابة تذكير صارخ بأنه حتى أكثر الأنظمة التي تخضع لمراجعة صارمة يمكن أن تخفي عيوباً كارثية يمكن لذكاء اصطناعي موجه بشكل جيد كشفها في غضون ساعات.