V květnu 2026 odhalil bezpečnostní výzkumník Taylor Hornby s pomocí AI Claude Opus 4.8 kritickou chybu v Zcash, která od roku 2022 umožňovala neomezené a nezjistitelné padělání mincí. Zranitelnost byla chybou v zero knowledge proof systému chráněného poolu Orchard, která umožňovala falšovat důkazy o platnosti transa...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Dne 28. května 2026 společnost Anthropic veřejně zpřístupnila svůj nejnovější model umělé inteligence, Claude Opus 4.8. Během jediného dne nezávislý bezpečnostní výzkumník Taylor Hornby, najatý organizací Shielded Labs k auditu protokolu Zcash, použil tento model k nalezení kritické zranitelnosti, která zůstávala skrytá celé čtyři roky . Objev spustil řetězec událostí vedoucí k nouzové opravě, veřejnému oznámení a propadu tržní ceny kryptoměny ZEC o zhruba 40–50 %
. Tato událost představuje první veřejně potvrzený případ, kdy pokročilý velký jazykový model (LLM) našel kritickou kryptografickou zranitelnost v produkčním zero-knowledge protokolu
.
Taylor Hornby se modelu Claude Opus 4.8 jednoduše nezeptal, aby „našel chyby“. Místo toho vytvořil vlastní nástroj nazvaný „Zcash Full-Stack Auditor“, který využíval schopnosti modelu logicky uvažovat a systematicky procházet složitou logiku chráněného okruhu Zcash zvaného Orchard . Tento nástroj mu umožnil nasměrovat analýzu AI na komplexní zero-knowledge proof systém založený na technologii Halo2, která zabezpečuje soukromé transakce v síti Zcash.
Dne 29. května tento systém odhalil logickou nekonzistenci, kterou lidští auditoři během několika formálních auditů od aktivace poolu Orchard v květnu 2022 přehlédli . Hornby se nezastavil u teoretické slabiny; s pomocí AI vytvořil funkční exploit, který v místním testovacím prostředí úspěšně vygeneroval padělané mince ZEC
. Rychlost objevu – do 24 hodin od vydání modelu – ukázala zásadní posun v tom, čeho lze pomocí AI v bezpečnostním výzkumu dosáhnout
.
Je zásadní zdůraznit, že šlo o spolupráci zkušeného lidského experta a pokročilého modelu. AI poskytla systematické uvažování a rozpoznávání vzorů v obřím kódu; lidský výzkumník definoval problém, sestavil kontrolní nástroj a ověřil výsledky .
Zranitelnost byla kritickou chybou v „soundness“ (bezchybné logické platnosti) chráněného okruhu Orchard, což je hlavní mechanismus pro soukromé transakce Zcash . V zero-knowledge proof systému znamená „soundness“, že by mělo být výpočetně nemožné vytvořit platný důkaz pro nepravdivé tvrzení. Okruh Orchard obsahoval nedostatečně ukotvený prvek, který tuto vlastnost narušoval.
Konkrétně jedna hodnota hluboko v kódu (v tzv. Halo2 gadgets crate) nebyla navázána na skutečný bázový bod, což umožnilo matematicky neplatným vstupům projít kontrolou eliptické křivky . Jednoduše řečeno: kontrola, která měla ověřovat platnost transakčních vstupů, ve skutečnosti pravidla, která měla hlídat, nevynucovala
. Výsledek? Útočník mohl falšovat platné zero-knowledge důkazy, které by autorizovaly vytvoření neomezeného množství padělaných ZEC přímo v chráněném poolu.
Protože jsou transakce v poolu Orchard z podstaty soukromé, padělané mince by byly na blockchainu nerozeznatelné od těch legitimních . Neexistoval by způsob, jak blockchain zkontrolovat a falešnou zásobu odhalit. Chyba byla v provozu od spuštění Orchardu v květnu 2022, což znamená, že zůstala neodhalena přibližně čtyři roky
.
Zásadní je, že kvůli vlastnostem soukromí poolu Orchard a povaze samotné chyby, organizace Shielded Labs uvedla, že neexistuje žádná kryptografická metoda, jak zjistit, zda byla zranitelnost někdy v minulosti zneužita . Tato nejistota se stala hlavním zdrojem obav po zveřejnění.
Poté, co Hornby chybu nahlásil vývojářskému týmu Zcash Open Development Lab, byla reakce okamžitá :
Wilcox potvrdil, že oprava byla úspěšně nasazena ještě před veřejným oznámením, takže po zveřejnění již nebyly žádné prostředky ztraceny v důsledku zneužití . Koordinovaný přístup „nejdřív opravit, pak zveřejnit“ následoval standardní praxi správy zranitelností, ale rychlost, s jakou bylo vše provedeno – od objevu po celosíťový hard fork za tři dny – byla mimořádná.
Po nouzové opravě požádala organizace Shielded Labs společnost Anthropic o provedení samostatného kompletního auditu protokolu pomocí jejich přísně chráněného modelu Mythos. Ten potvrdil, že k 12. červnu 2026 již v protokolu neexistují žádné další kritické zranitelnosti . Tato komplexní kontrola pomohla částečně obnovit důvěru, ačkoli klíčová nejistota ohledně možného zneužití před opravou přetrvala.
Trhy na veřejné oznámení ze 4. června zareagovaly tvrdě. Cena ZEC v následujících dnech klesla o zhruba 40–50 %, přičemž zprávy popisovaly pád mince z „mnohem vyšších úrovní před pouhými týdny“ do volného pádu . Více zdrojů uvádí pokles v rozmezí 31 % až 50 %, přičemž nejčastěji zmiňovaná hodnota je přibližně 40–50 %
.
Výprodej odrážel paniku na několika frontách. Zaprvé, samotná závažnost chyby – možnost neomezeného a nezjistitelného padělání u hlavní kryptoměny zaměřené na soukromí – podkopala základní důvěru v bezpečnostní záruky protokolu. Zadruhé, skutečnost, že model AI našel chybu, kterou roky trvající lidské formální audity přehlédly, vyvolala znepokojivé otázky o zranitelnosti dalších kryptoměn, včetně Etherea . Zatřetí, trvalá nejistota ohledně toho, zda již byla chyba zneužita, zanechala dluh důvěry, který samotná technická oprava nedokázala vyřešit
.
Obchodníci přehodnotili bezpečnost jedné z nejvýznamnějších sítí zaměřených na soukromí ve světě kryptoměn a přecenění bylo rychlé a tvrdé .
Incident se Zcash je široce vnímán jako zlomový okamžik pro pochopení dvojího potenciálu AI v kritické softwarové bezpečnosti .
Obranná hodnota je jasná. Model AI v kombinaci s odborným lidským vedením našel katastrofální chybu, kterou lidští auditoři čtyři roky přehlíželi – a to během jednoho dne od vydání modelu . To dokazuje, že pokročilá AI může dramaticky zlepšit rychlost, hloubku a úplnost bezpečnostních auditů složitých kryptografických systémů. Následný audit modelem Mythos, který zbytek protokolu prohlásil za čistý, naznačuje budoucnost, kde se AI-řízené kontinuální audity stanou standardní praxí pro kritickou infrastrukturu
.
Hornbyho přístup – vytvoření vlastního agentního rámce spíše než pouhé kladení dotazů modelu – také ukázal, že nejsilnější obranné aplikace pocházejí z integrace AI do systematických bezpečnostních pracovních postupů, nikoli z jejího použití jako samostatného věštce.
Ofenzivní důsledky jsou stejně hrozivé. Stejná schopnost, která našla tuto chybu, může být zneužita útočníky k objevování a zneužívání zranitelností nultého dne rychlostí stroje . Pokud by podobné techniky použila skupina black-hat hackerů dříve než white-hat výzkumník, mohli v tichosti vytvořit neomezené množství padělaných mincí, vyčerpat likviditu a zmizet – to vše před nasazením jakékoli opravy.
Agentura Bloomberg popsala událost jako ukázku „rozsahu hrozby hackingu pomocí AI“ . Bloomberg a další servery poznamenaly, že incident vyvolal naléhavé otázky, zda jsou současné normy pro odpovědné zveřejňování zranitelností nastaveny na chyby objevované rychlostí AI
. Když AI dokáže najít kritickou chybu během několika hodin, okno pro koordinovanou opravu před nepřátelským zneužitím se hroutí.
Bezpečnostní výzkumníci varují, že se nejedná o teoretickou obavu. Incident se Zcash je prvním veřejně potvrzeným příkladem, ale téměř jistě nebude poslední .
Snad nejznepokojivějším aspektem celé epizody je neřešitelná nejistota. Protože je Zcash anonymní mincí, neexistuje způsob, jak kryptograficky dokázat, zda byla chyba během své čtyřleté životnosti zneužita . Vývojářský tým vyhodnotil zneužití jako „nepravděpodobné“, ale přiznal, že to doslova nemohou potvrdit
. To vytváří trvalý problém důvěry – nejen pro Zcash, ale pro jakýkoli systém chránící soukromí, kde mohla být chyba před svým odhalením v tichosti zneužita.
Incident se Zcash znamená konec éry, kdy se zabezpečení kryptografických protokolů mohlo spoléhat pouze na pravidelné lidské audity. Objevování zranitelností s pomocí AI je nyní prokázanou schopností se vší asymetrickou silou, kterou to obnáší.
Pro vývojáře protokolů jsou důsledky jasné: integrace pokročilých AI modelů do průběžných bezpečnostních kontrol již není dobrovolná – je to nezbytnost, protože protivníci jistě udělají totéž. Pro komunitu vývojářů AI tato událost posiluje potřebu promyšleného nasazování schopností, které lze snadno zneužít k ofenzivním účelům. A pro širší kryptoměnový ekosystém slouží jako ostrá připomínka, že i ty nejpřísněji prověřované systémy mohou skrývat katastrofální chyby, které správně nasměrovaná AI může odhalit během několika hodin.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
V květnu 2026 odhalil bezpečnostní výzkumník Taylor Hornby s pomocí AI Claude Opus 4.8 kritickou chybu v Zcash, která od roku 2022 umožňovala neomezené a nezjistitelné padělání mincí.
V květnu 2026 odhalil bezpečnostní výzkumník Taylor Hornby s pomocí AI Claude Opus 4.8 kritickou chybu v Zcash, která od roku 2022 umožňovala neomezené a nezjistitelné padělání mincí. Zranitelnost byla chybou v zero knowledge proof systému chráněného poolu Orchard, která umožňovala falšovat důkazy o platnosti transakcí.
Incident je klíčovou ukázkou dvojího použití AI v kyberbezpečnosti – dramaticky zrychluje obranné audity, ale stejnou schopnost lze zneužít k hledání a zneužívání zranitelností nultého dne.