La IA encuentra errores que los humanos no vieron en 20 años: los casos de FFmpeg y Zcash que reescriben la ciberseguridad

Varios de estos fallos habían permanecido latentes entre 15 y 20 años, incluso habiendo sobrevivido a auditorías de seguridad intensivas realizadas por gigantes como Google y Anthropic . Las vulnerabilidades eran principalmente desbordamientos de búfer en la pila y el montículo (heap y stack) en componentes como el demuxer de TS y el decodificador VP9 . La compañía también desarrolló una PoC que demuestra una técnica primitiva para lograr la ejecución remota de código (RCE) .

Esta no fue la primera vez que Depthfirst encuentra fallos en FFmpeg. A principios de mayo, la empresa informó haber encontrado 12 errores de corrupción de memoria en la biblioteca, algunos con origen en código de 2009. Además, se comprometió a otorgar hasta $5 millones en créditos para ayudar a proyectos de código abierto a reparar los fallos descubiertos por IA . A pesar de estos esfuerzos, la capacidad para corregirlos está visiblemente desbordada. A finales de mayo de 2026, muchas de las vulnerabilidades de FFmpeg, incluyendo CVE-2026-6385 y CVE-2025-22921, seguían apareciendo como "sin parche" o "pospuestas" en los sistemas de seguimiento de Debian .

La implicación principal: Un agente autónomo, operando por un costo total de aproximadamente $21,000 dólares, encontró más vulnerabilidades de día cero en una sola biblioteca de las que la mayoría de equipos humanos encuentra en un año. El cuello de botella ha pasado, sin duda, del descubrimiento a la reparación.

Claude Opus 4.8 encuentra un fallo de falsificación de 4 años en Zcash

El 29 de mayo de 2026, el investigador de seguridad independiente Taylor Hornby, durante una auditoría del protocolo Zcash para Shielded Labs, descubrió una vulnerabilidad crítica de "solidez" (soundness) en el pool de transacciones blindadas Orchard de Zcash . El hallazgo ocurrió tan solo un día después de que Anthropic lanzara su modelo Claude Opus 4.8, el 28 de mayo .

Hornby construyó un sistema a medida llamado "Auditor Full-Stack de Zcash" sobre el modelo Opus 4.8. Este sistema razonó a través de las restricciones del circuito de pruebas de conocimiento cero de Orchard y descubrió una comprobación faltante o incompleta en la lógica de multiplicación de curvas elípticas, una falla que permitía que pruebas falsas pasaran la validación . Hornby llegó a escribir un exploit funcional en un entorno de pruebas local que acuñaba ZEC falsos .

El impacto era severo: El error podría haberse explotado para crear de forma indetectable una cantidad ilimitada de tokens ZEC falsificados, rompiendo el límite fijo de suministro de 21 millones de monedas de Zcash . La falla existía desde la activación de Orchard en mayo de 2022, una ventana de cuatro años sin ser detectada .

Respuesta técnica de emergencia

Los desarrolladores de Zcash y el Zcash Open Development Lab (ZODL) respondieron rápidamente :

• 29 de mayo de 2026: Hornby descubre el fallo y lo divulga de inmediato .
• 29 de mayo – 1 de junio: El error es parcheado por medio de una actualización coordinada de emergencia .
• 2 de junio: Un soft fork de emergencia (en el bloque 3,363,426) desactiva las transacciones de Orchard para evitar cualquier posible explotación .
• 3 de junio: El hard fork NU6.2 reactiva Orchard con el circuito ya reparado. Los exploradores de bloques estuvieron brevemente fuera de línea y los mineros reportaron inestabilidad temporal en la red .

La Fundación Zcash declaró que no hay evidencia de que el fallo haya sido explotado en un entorno real . Sin embargo, debido a las propiedades de privacidad del pool blindado, no hay ninguna manera criptográfica de comprobar si alguna vez se acuñaron monedas falsas . Esta imposibilidad de verificación fundamental se convirtió en una preocupación central para el mercado.

Desplome del precio de ZEC e impacto en el mercado

Antes de la divulgación pública, el ZEC cotizaba en máximos superiores a los $600 . Una vez que el error se hizo público el 5 de junio, el valor del token se desplomó :

• CoinMarketCap reportó una caída del ~31% .
• KuCoin informó una caída de más del 40% .
• Bankless Times y BitMEX reportaron un desplome de aproximadamente 50% desde el pico hasta el valle, cayendo el ZEC de $624 el 4 de junio a $309 el 5 de junio .

El desplome se amplificó por la erosión de la confianza en el límite de 21 millones de Zcash y el desarme de posiciones largas saturadas . El conocido trader Arthur Hayes también hizo pública su salida de su posición, añadiendo presión de venta .

El panorama general: El descubrimiento con IA supera la capacidad de reparación humana

Estos dos incidentes, ocurridos en la misma semana, no son casos atípicos. Son el nuevo estándar de un cambio sistémico en la ciberseguridad.

Asimetría de velocidad y costo: El agente de Depthfirst encontró 21 fallos por ~$21,000 ; Hornby encontró una falla criptográfica catastrófica al día siguiente del lanzamiento de un nuevo modelo . Equipos humanos no habían detectado ambos casos durante años. La economía ahora favorece fuertemente a los atacantes, que pueden ejecutar agentes autónomos similares a un costo marginal insignificante para descubrir y usar vulnerabilidades como armas.

Sobrecarga de volumen para los mantenedores: Esa misma semana, Google parcheó una cifra récord de 429 errores en Chrome 149 . Pero proyectos de código abierto como FFmpeg y Debian ya muestran estados de "pospuesto" para CVEs descubiertos por IA . El ritmo de descubrimiento es más rápido de lo que los mantenedores voluntarios pueden manejar.

Un patrón, no un accidente: Esto sigue a un incidente de mayo de 2026 donde la IA autónoma de Depthfirst encontró un desbordamiento de montículo de 18 años en NGINX (CVE-2026-42945, CVSS 9.2) en solo seis horas . La tecnología está encontrando de manera consistente errores antiguos y críticos que han sobrevivido a cada auditoría previa.

La pregunta sin resolver: Si el error de Orchard de Zcash fue explotado en secreto alguna vez sigue siendo fundamentalmente inverificable . Esa incertidumbre por sí sola ha dañado la confianza del mercado y plantea una pregunta profunda para todas las blockchains centradas en la privacidad: ¿Puede un fallo de solidez descubierto por IA en un pool blindado ser alguna vez completamente saneado si nadie puede probar que no fue utilizado?