I maj 2026 brugte sikkerhedsforskeren Taylor Hornby Anthropics Claude Opus 4.8 til at finde en kritisk Zcash fejl fra 2022, der teoretisk tillod ubegrænset, uopdageligt falskmøntneri. Sårbarheden var en såkaldt 'soundness' brist i Zcashs Orchard sikrede puljes nulvidens kredsløb, som ingen menneskelige revisorer hav...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Den 28. maj 2026 udgav Anthropic sin Claude Opus 4.8-model til offentligheden. Inden for 24 timer brugte en uafhængig sikkerhedsforsker, Taylor Hornby – hyret af Shielded Labs til at revidere Zcash-protokollen – modellen til at finde en kritisk sårbarhed, som havde gemt sig i koden i fire år . Opdagelsen udløste en hastelappelse, en offentliggørelse og et markedsras, der barberede mellem 40 og 50 % af ZEC's værdi
. Hændelsen står som det første offentligt bekræftede tilfælde, hvor en avanceret AI-sprogmodel finder en kritisk kryptografisk sårbarhed i en fungerende nulvidens-protokol
.
Taylor Hornby bad ikke bare Claude Opus 4.8 om at "finde fejl". Han byggede et specialudviklet værktøj kaldet "Zcash Full-Stack Auditor", som udnyttede modellens evne til logisk at gennemgå Zcashs komplicerede Orchard-sikrede kredsløbslogik . Værktøjet gjorde det muligt for Hornby at styre AI'ens analyse mod det komplekse Halo2-baserede nulvidens-bevisssystem, der sikrer Zcashs private transaktioner.
Den 29. maj fandt værktøjet en logisk uoverensstemmelse, som menneskelige eksperter – på tværs af flere formelle revisioner siden Orchard-puljens aktivering i maj 2022 – havde overset . Hornby nøjedes ikke med at dokumentere en teoretisk svaghed. Med den AI-assisterede tilgang skrev han et fungerende exploit, der med succes prægede falske ZEC i et lokalt testmiljø
. Farten på opdagelsen – inden for én dag efter modellens offentlige udgivelse – understregede et kvantespring i, hvad AI-forstærket sikkerhedsforskning kan opnå
.
Det er afgørende at understrege, at gennembruddet var et samarbejde mellem en dygtig menneskelig ekspert og en avanceret model. AI'en leverede en systematisk gennemgang og mønstergenkendelse på tværs af en enorm kodebase; mennesket indrammede problemet, byggede revisionsstellet og validerede fundene .
Sårbarheden var en kritisk såkaldt soundness-brist i Orchard-puljens sikrede kredsløb – den primære mekanisme til Zcashs private transaktioner . I et nulvidens-bevisssystem betyder "soundness", at det bør være beregningsmæssigt umuligt at lave et gyldigt bevis for et falsk udsagn. Orchard-kredsløbet indeholdt et underbegrænset element, der brød med denne egenskab.
Helt specifikt var en værdi dybt i Halo2-komponentkassen efterladt uforankret til et reelt basispunkt, hvilket i praksis lod matematisk ugyldige input passere et elliptisk kurve-tjek . Sagt i mere enkle vendinger: et tjek, der skulle validere transaktionsinput, håndhævede slet ikke de regler, det så ud til at håndhæve
. Resultatet var, at en angriber kunne forfalske gyldige nulvidens-beviser, der autoriserede skabelsen af et ubegrænset antal falske ZEC inden i den sikrede pulje.
Fordi Orchard-transaktioner er designet til at være private, ville de falske mønter være umulige at skelne fra ægte mønter på blockchainen . Der ville ingen måde være at revidere blockchainen og se den falske pengeforsyning. Fejlen havde været aktiv siden Orchard-puljens introduktion i maj 2022, hvilket betyder, at den forblev uopdaget i omkring fire år
.
Afgørende er det, at på grund af Orchard-puljens privatlivsegenskaber og fejlens natur, fastslog Shielded Labs, at der ingen kryptografisk metode findes til at afgøre, om sårbarheden nogensinde er blevet udnyttet i det skjulte . Denne usikkerhed blev en central kilde til uroen efter offentliggørelsen.
Da Hornby først rapporterede fejlen til Zcash Open Development Lab, var reaktionen lynhurtig :
Wilcox bekræftede, at lappelsen med succes blev implementeret inden den offentlige meddelelse, hvilket betyder, at ingen kendte midler gik tabt til udnyttelse efter offentliggørelsen . Den koordinerede "lappe først, offentliggør bagefter"-tilgang fulgte standardpraksis for sårbarhedshåndtering, men den nødvendige hast – fra opdagelse til netværksdækkende hard fork på tre dage – var ekstraordinær.
Efter hastelappelsen bad Shielded Labs Anthropic om at gennemføre en separat revision af hele protokollen med deres avancerede, endnu ikke udgivne model Mythos. Den revision bekræftede, at der pr. 12. juni 2026 ikke fandtes yderligere kritiske sårbarheder i protokollen . Den omfattende gennemgang hjalp delvist med at genopbygge tilliden, selvom kerneusikkerheden om udnyttelse før lappelsen forblev.
Markederne reagerede hårdt på den offentlige meddelelse den 4. juni. ZEC's kurs faldt med omkring 40-50 % i de efterfølgende dage, med rapporter der beskrev, hvordan kryptovalutaen gik fra "langt højere niveauer kun få uger tidligere" til et frit fald . Flere kilder nævner et fald på mellem 31 % og 50 %, men det hyppigst nævnte interval er cirka 40-50 %
.
Salgspresset afspejlede panik på flere fronter. For det første underminerede selve fejlens alvor – uendeligt, uopdageligt falskmøntneri i en stor privatlivs-kryptovaluta – den fundamentale tillid til protokollens sikkerhedsgarantier. For det andet rejste det faktum, at en AI-model fandt en fejl, som års menneskelige formelle revisioner havde misset, urovækkende spørgsmål om sårbarhedsfladen i andre kryptovalutaer, herunder Ethereum . For det tredje efterlod den permanente uvished om, hvorvidt fejlen allerede var blevet udnyttet, et tillidsunderskud, som en teknisk lappelse alene ikke kunne lukke
.
Handlere revurderede sikkerheden ved et af kryptoverdenens mest prominente privatlivsnetværk, og den deraf følgende omvurdering var både hurtig og brutal .
Zcash-episoden ses bredt som et vendepunkt for AI's dobbeltrolle-potentiale inden for kritisk softwaresikkerhed .
Forsvarsværdien er tydelig. En AI-model, kombineret med ekspertmenneskelig styring, fandt en katastrofal fejl, som menneskelige revisorer havde overset i fire år – og gjorde det inden for én dag efter modellens udgivelse . Dette demonstrerer, at avanceret AI dramatisk kan forbedre hastigheden, dybden og fuldstændigheden af sikkerhedsrevisioner for komplekse kryptografiske systemer. Den efterfølgende Mythos-revision, der frikendte resten af protokollen, antyder en fremtid, hvor AI-drevet, kontinuerlig revision bliver standarden for vital infrastruktur
.
Hornbys tilgang – at bygge en specialudviklet agent-ramme frem for blot at prompte modellen – viste også, at de mest kraftfulde forsvarsapplikationer kommer fra at integrere AI i systematiske sikkerhedsprocesser, ikke som et selvstændigt orakel.
De offensive implikationer er lige så skarpe. Den samme egenskab, som fandt denne fejl, kan bruges som våben af ondsindede aktører til at opdage og udnytte nul-dages-sårbarheder med maskinhastighed . Hvis en sort-hattet gruppe havde anvendt lignende teknikker på Zcash, før den hvide-hattede forsker gjorde det, kunne de i stilhed have præget ubegrænsede falske mønter, tømt likviditeten og forsvundet – alt sammen før nogen lap blev implementeret.
Bloomberg beskrev hændelsen som et udtryk for "omfanget af AI-hackingtruslen" . Flere medier bemærkede, at hændelsen rejste presserende spørgsmål om, hvorvidt nuværende normer for ansvarlig offentliggørelse er gearet til sårbarheder, der opdages med AI-hastighed
. Når en AI kan finde en kritisk fejl i løbet af timer, kollapser tidsvinduet for koordineret lapning, før potentielt modstanderangreb finder sted.
Sikkerhedsforskere har advaret om, at dette ikke er en teoretisk bekymring. Zcash-episoden er det første offentligt bekræftede eksempel, men det vil med næsten sikkerhed ikke være det sidste .
Det måske mest foruroligende aspekt ved hele episoden er den uløselige usikkerhed. Fordi Zcash er en privatlivs-kryptovaluta, findes der ingen måde at kryptografisk bevise, om fejlen blev udnyttet i dens fireårige levetid . Udviklingsteamet vurderede, at udnyttelse var "usandsynlig", men de erkendte, at de bogstaveligt talt ikke kan bekræfte det
. Dette skaber et varigt tillidsproblem – ikke kun for Zcash, men for ethvert privatlivsbevarende system, hvor en fejl kunne være blevet udnyttet i stilhed før opdagelsen.
Zcash-episoden markerer afslutningen på den æra, hvor kryptografisk protokolsikkerhed kunne basere sig alene på periodiske menneskelige revisioner. AI-assisteret sårbarhedsopdagelse er nu en demonstreret egenskab – med al den asymmetriske magt, det indebærer.
For protokoludviklere er implikationerne klare: At integrere avancerede AI-modeller i kontinuerlige sikkerhedsgennemgange er ikke længere valgfrit – det er bydende nødvendigt, fordi modstandere helt sikkert vil gøre det samme. For AI-samfundet understreger hændelsen behovet for gennemtænkt anvendelse af egenskaber, der nemt kan omdirigeres til angreb. Og for det bredere krypto-økosystem tjener det som en skarp påmindelse om, at selv de mest gennemreviderede systemer kan rumme katastrofale fejl, som en velinstrueret AI kan frembringe i løbet af timer.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
I maj 2026 brugte sikkerhedsforskeren Taylor Hornby Anthropics Claude Opus 4.8 til at finde en kritisk Zcash fejl fra 2022, der teoretisk tillod ubegrænset, uopdageligt falskmøntneri.
I maj 2026 brugte sikkerhedsforskeren Taylor Hornby Anthropics Claude Opus 4.8 til at finde en kritisk Zcash fejl fra 2022, der teoretisk tillod ubegrænset, uopdageligt falskmøntneri. Sårbarheden var en såkaldt 'soundness' brist i Zcashs Orchard sikrede puljes nulvidens kredsløb, som ingen menneskelige revisorer havde set i fire år.
Episoden er en historisk demonstration af AI's tveæggede potentiale i cybersikkerhed – den kan dramatisk accelerere forsvarsrevisioner, men viser samtidig, hvordan samme egenskab kan misbruges til angreb.