AI-agenter finder 21 zero-days i FFmpeg og en katastrofal Zcash-fejl på få dage – mennesker havde overset dem i årtier

Flere af fejlene havde ligget uopdagede i 15 til 20 år og var altså ældre end selv intensive sikkerhedsrevisioner foretaget af Google og Anthropic . Sårbarhederne var primært såkaldte "heap"- og "stack"-bufferoverløb i komponenter som TS-demuxeren og VP9-dekoderen . Virksomheden udviklede også en PoC, der demonstrerede en mulighed for fjernkodeudførelse (RCE) .

Dette var ikke Depthfirsts første FFmpeg-opdagelse. Allerede i maj havde firmaet rapporteret fundet af 12 hukommelsesfejl i biblioteket, nogle med rødder helt tilbage til kode fra 2009, og forpligtede sig til at stille op til 5 millioner dollars i kreditter til rådighed for at hjælpe open source-projekter med at rette AI-fundne huller . Men på trods af denne indsats er reparationspipelinen synligt overbelastet. Så sent som i slutningen af maj 2026 var mange FFmpeg-CVE'er – herunder CVE-2026-6385 og CVE-2025-22921 – stadig angivet af Debian som ulappede eller "udsatte" .

Den helt centrale pointe: En autonom agent, der opererede for i alt omkring 21.000 dollars, fandt flere zero-days i ét bibliotek, end de fleste menneskelige hold finder på et år. Flaskehalsen er afgørende flyttet fra opdagelse til lapning.

Claude Opus 4.8 finder en 4 år gammel forfalskningsfejl i Zcash

Den 29. maj 2026 opdagede den uafhængige sikkerhedsforsker Taylor Hornby, under en revision af Zcash-protokollen for Shielded Labs, en kritisk såkaldt "sundhedsfejl" i Zcashs "Orchard"-shieldede pulje . Han fandt fejlen blot én dag efter, at Anthropic udgav deres Claude Opus 4.8-model den 28. maj .

Hornby byggede en skræddersyet "Zcash Full-Stack Auditor"-ramme oven på Opus 4.8. Dette system ræsonnerede sig igennem "zero-knowledge"-kredsløbsbegrænsningerne i Orchard-puljen og afslørede en manglende eller ufuldstændig kontrol i den elliptiske kurve-multiplikationslogik – en fejl, der lod forfalskede beviser passere validering . Hornby skrev derefter en fungerende lokal udnyttelse, der prægede falske ZEC i et testmiljø .

Konsekvensen var alvorlig: Fejlen kunne være blevet udnyttet til ikke-sporbart at skabe et ubegrænset antal falske ZEC-tokens, hvilket ville bryde Zcashs faste udbudsloft på 21 millioner mønter . Fejlen havde eksisteret siden Orchards aktivering i maj 2022 – et uopdaget fire-års vindue .

Akut teknisk reaktion

Zcash-udviklerne og Zcash Open Development Lab (ZODL) reagerede hurtigt :

• 29. maj 2026: Hornby opdager fejlen og rapporterer den straks .
• 29. maj – 1. juni: Fejlen lappes via en koordineret nødopdatering .
• 2. juni: En akut såkaldt "soft fork" (ved blok 3.363.426) deaktiverer Orchard-transaktioner for at forhindre enhver potentiel udnyttelse .
• 3. juni: "Hard fork"-en NU6.2 genaktiverer Orchard med det lappede kredsløb. Blokudforskere var kortvarigt offline, og minere rapporterede midlertidig netværksustabilitet .

Zcash-fonden erklærede, at der ikke er beviser for, at fejlen nogensinde blev udnyttet i praksis . Men på grund af den skjulte puljes privatlivsegenskaber er der ingen kryptografisk måde at bevise, om falske mønter nogensinde blev skabt . Denne grundlæggende usikkerhed blev en central bekymring for markedet.

ZEC-priskrak og markedsindflydelse

Før den offentlige afsløring handledes ZEC til kurshøjder over 600 dollars . Da fejlen blev offentligt kendt den 5. juni, styrtdykkede tokenens værdi :

• CoinMarketCap rapporterede et fald på ~31% .
• KuCoin rapporterede et fald på over 40% .
• Bankless Times og BitMEX rapporterede et krak på omkring 50% fra top til bund, hvor ZEC faldt fra 624 dollars den 4. juni til 309 dollars den 5. juni .

Krakket blev forstærket af svækket tillid til Zcashs udbudsloft på 21 millioner og afviklingen af overfyldte spekulative positioner . Den prominente erhvervsmand Arthur Hayes offentliggjorde også, at han forlod sin position, hvilket øgede salgspresset .

Det store billede: AI-drevet opdagelse overhaler menneskelig reparation

Disse to hændelser, der indtraf i samme uge, er ikke enkeltstående tilfælde. De er den nye normal for et systemskifte inden for cybersikkerhed.

Asymmetri i fart og pris: Depthfirsts agent fandt 21 fejl for omkring 21.000 dollars ; Hornby fandt en katastrofal kryptofejl dagen efter, en ny model blev lanceret . Menneskelige hold havde overset begge dele i årevis. Økonomien favoriserer nu kraftigt angribere, der kan køre lignende autonome agenter til stort set ingen omkostning for at finde og våbenliggøre sårbarheder.

Mængdeoverload for vedligeholdere: I samme uge lappede Google rekordmange 429 fejl i Chrome 149 . Men open source-projekter som FFmpeg og Debian viser allerede "udsatte" lappestatusser for AI-fundne CVE'er . Opdagelsespipelinen fosser hurtigere, end frivillige vedligeholdere kan håndtere.

Et mønster, ikke en tilfældighed: Dette følger en hændelse fra maj 2026, hvor Depthfirsts autonome AI fandt et 18 år gammelt heap-overløb i NGINX (CVE-2026-42945, CVSS 9.2) på bare seks timer . Teknologien finder konsekvent ældgamle, kritiske fejl, der har overlevet enhver tidligere revision.

Det uløste spørgsmål: Hvorvidt Zcashs Orchard-fejl nogensinde blev hemmeligt udnyttet, forbliver fundamentalt ikke-verificerbart . Den usikkerhed alene har skadet markedstilliden og rejser et dybt spørgsmål for alle privatlivsfokuserede blockchains: Kan en AI-opdaget sundhedsfejl i en skjult pulje nogensinde ryddes helt op, hvis ingen kan bevise, at den ikke blev brugt?