Když umělá inteligence hledá chyby rychleji, než je lidé stíhají opravovat: Příběhy FFmpeg a Zcash

Několik chyb leželo v kódu ladem 15 až 20 let, tedy z doby před intenzivními bezpečnostními audity firem jako Google a Anthropic . Jednalo se především o přetečení haldy a zásobníku v komponentách jako TS demuxer a VP9 dekodér . Společnost také vyvinula proof-of-concept demonstrující primitiv pro vzdálené spuštění kódu (RCE) .

Pro Depthfirst to nebyl první objev v FFmpeg. Již v květnu firma ohlásila nález 12 chyb způsobujících poškození paměti, z nichž některé pocházely z kódu z roku 2009, a přislíbila až 5 milionů dolarů v kreditech na pomoc open-source projektům s opravou AI objevených chyb . Navzdory tomu je opravný proces viditelně pod tlakem. Ke konci května 2026 bylo mnoho zranitelností FFmpeg v databázi CVE – včetně CVE-2026-6385 a CVE-2025-22921 – v systému Debian stále označeno jako neopravené nebo "odložené" .

Zásadní implikace: Autonomní agent za přibližně 21 000 dolarů našel v jedné knihovně více zero-day chyb, než většina lidských týmů za celý rok. Úzké hrdlo se jednoznačně přesunulo z objevování na opravování.

Claude Opus 4.8 našel čtyři roky starou chybu umožňující padělání mincí v Zcash

Dne 29. května 2026 nezávislý bezpečnostní výzkumník Taylor Hornby, který prováděl audit protokolu Zcash pro organizaci Shielded Labs, objevil kritickou zranitelnost typu "soundness" v tzv. Orchard shielded poolu sítě Zcash . Našel ji pouhý jeden den poté, co společnost Anthropic 28. května vydala svůj model Claude Opus 4.8 .

Hornby postavil vlastní framework "Zcash Full-Stack Auditor" nad modelem Opus 4.8. Tento systém prošel omezeními zero-knowledge obvodů Orchard poolu a odhalil chybějící či nekompletní kontrolu v logice násobení na eliptických křivkách – trhlinu, která umožňovala, aby podvržené důkazy prošly validací . Hornby poté napsal funkční lokální exploit, který v testovacím prostředí vytvořil falešné mince ZEC .

Dopad byl devastující: Chyba mohla být zneužita k neodhalitelnému vytvoření neomezeného množství falešných tokenů ZEC, čímž by byl prolomen pevný strop 21 milionů mincí . Trhlina existovala od aktivace Orchardu v květnu 2022 – tedy celé čtyři roky bez povšimnutí .

Nouzová technická reakce

Vývojáři Zcash a Zcash Open Development Lab (ZODL) zareagovali rychle :

• 29. 5. 2026: Hornby objevuje chybu a okamžitě ji oznamuje .
• 29. 5. – 1. 6.: Chyba je opravena pomocí koordinované nouzové aktualizace .
• 2. 6.: Nouzový soft fork (na bloku 3 363 426) deaktivuje Orchard transakce, aby zabránil případnému zneužití .
• 3. 6.: Hard fork NU6.2 znovu aktivuje Orchard s opraveným obvodem. Průzkumníci bloků byli krátce offline a těžaři hlásili dočasnou nestabilitu sítě .

Nadace Zcash uvedla, že neexistují žádné důkazy o tom, že by chyba byla někdy zneužita v ostrém provozu . Avšak vzhledem k ochraně soukromí, kterou shielded pool poskytuje, neexistuje žádný kryptografický způsob, jak prokázat, zda byly falešné mince někdy vytvořeny . Tato fundamentální neověřitelnost se stala ústředním problémem pro trh.

Propad ceny ZEC a dopad na trh

Před zveřejněním informací se ZEC obchodoval za ceny nad 600 dolary . Jakmile se chyba 5. června stala veřejnou, hodnota tokenu se zhroutila :

• CoinMarketCap hlásil pokles ~31 % .
• KuCoin hlásil pokles přes 40 % .
• Bankless Times a BitMEX informovaly o propadu zhruba 50 % z maxima na minimum, kdy ZEC spadl z 624 dolarů (4. června) na 309 dolarů (5. června) .

Pád byl umocněn erozí důvěry ve 21milionový strop Zcash a uvolněním přeplněných dlouhých pozic (long squeeze) . K prodejnímu tlaku přispěl i známý obchodník Arthur Hayes, který veřejně opustil svou pozici .

Širší souvislosti: AI objevuje chyby rychleji, než lidé stíhají opravovat

Tyto dva incidenty, které přišly ve stejném týdnu, nejsou výjimkami. Jsou novým standardem systémové změny v kyberbezpečnosti.

Asymetrie rychlosti a nákladů: Agent Depthfirst našel 21 chyb za cenu ~21 000 dolarů ; Hornby našel katastrofální kryptografickou trhlinu den po vydání nového modelu . Lidské týmy obě chyby léta přehlížely. Ekonomika nyní silně nahrává útočníkům, kteří mohou provozovat podobné autonomní agenty za zanedbatelné mezní náklady a zneužívat zranitelnosti.

Zahlcení správců objemem práce: Ve stejném týdnu Google opravil rekordních 429 chyb v prohlížeči Chrome 149 . Avšak open-source projekty jako FFmpeg a Debian již nyní ukazují "odložený" status oprav pro AI objevené CVE . Příval objevů je rychlejší, než co mohou dobrovolní správci zvládnout.

Vzor, nikoli náhoda: Tento incident navazuje na květnovou událost z roku 2026, kdy autonomní AI od Depthfirst našel 18 let staré přetečení haldy v serveru NGINX (CVE-2026-42945, CVSS 9.2) za pouhých šest hodin . Tato technologie konzistentně nachází prastaré, kritické chyby, které přežily všechny předchozí audity.

Nevyřešená otázka: Zda byla chyba v Zcash Orchard někdy tajně zneužita, zůstává fundamentálně neověřitelné . Už jen tato nejistota poškodila důvěru trhu a klade hlubokou otázku všem blockchainům zaměřeným na soukromí: lze vůbec někdy plně vyčistit soundness chybu objevenou AI v shielded poolu, pokud nikdo nemůže dokázat, že nebyla zneužita?