AI-murros kyberturvallisuudessa: 21 nollapäivähaavoittuvuutta FFmpegistä ja kriittinen Zcash-virhe löytyivät päivissä

Monet vioista olivat olleet piilossa 15–20 vuotta, eli ne olivat syntyneet jo ennen Googlen ja Anthropicin kaltaisten jättien tekemiä perusteellisia tietoturva-auditointeja . Löydetyt haavoittuvuudet olivat pääasiassa keko- ja pinomuistin ylivuotovirheitä komponenteissa, kuten TS-demultiplekserissä ja VP9-dekooderissa . Yritys kehitti jopa esimerkin, joka todisti etäkoodin suorittamisen (RCE) olevan mahdollista .

Tämä ei ollut Depthfirstin ensimmäinen FFmpeg-löytö. Toukokuun alussa yritys kertoi havainneensa kirjastosta 12 muistin korruptoitumiseen liittyvää bugia, joista osa juonsi juurensa vuoden 2009 koodiin, ja sitoutui jopa 5 miljoonan dollarin edestä hyvityksiä auttaakseen avoimen lähdekoodin projekteja korjaamaan tekoälyn löytämiä vikoja . Näistä ponnisteluista huolimatta korjausputki on näkyvästi tukossa. Vielä toukokuun 2026 lopulla Debian listasi monia FFmpegin CVE-tunnisteita – kuten CVE-2026-6385 ja CVE-2025-22921 – tilaan "korjaamaton" tai "lykätty" .

Keskeinen johtopäätös: Itsenäinen agentti, jonka toiminta maksoi yhteensä noin 21 000 dollaria, löysi yhdestä kirjastosta enemmän nollapäivähaavoittuvuuksia kuin useimmat ih mistiimit vuodessa. Pullonkaula on siirtynyt ratkaisevasti löytämisestä korjaamiseen.

Claude Opus 4.8 paljasti neljä vuotta vanhan väärennysvirheen Zcashista

Turvatutkija Taylor Hornby löysi 29. toukokuuta 2026 Shielded Labsille tekemänsä Zcash-protokollan auditoinnin yhteydessä kriittisen "eheyshaavoittuvuuden" (soundness bug) Zcashin Orchard-suojatusta poolista . Löytö tapahtui vain päivä sen jälkeen, kun Anthropic oli julkaissut Claude Opus 4.8 -mallinsa 28. toukokuuta .

Hornby rakensi Opus 4.8:n päälle räätälöidyn "Zcash Full-Stack Auditor" -kehyksen. Tämä järjestelmä päätteli Orchard-poolin nollatietotodistuspiirien rajoitteiden läpi ja paljasti puuttuvan tai puutteellisen tarkistuksen elliptisten käyrien kertolaskulogiikassa – virheen, joka salli väärennettyjen todisteiden läpäistä validoinnin . Hornby kirjoitti tämän jälkeen paikallisessa testiympäristössä toimivan hyödyntämismenetelmän, jolla pystyi luomaan väärennettyä ZEC-kryptovaluuttaa .

Vaikutus oli vakava: Virhettä olisi voitu käyttää luomaan rajattomasti väärennettyjä ZEC-tokeneita täysin jälkiä jättämättä, mikä olisi rikkonut Zcashin 21 miljoonan kolikon kiinteän kokonaismäärän ylärajan . Virhe oli ollut olemassa siitä lähtien, kun Orchard aktivoitiin toukokuussa 2022 – neljän vuoden ajan ilman, että kukaan huomasi sitä .

Hätätilanteen tekninen vastaus

Zcashin kehittäjät ja Zcash Open Development Lab (ZODL) reagoivat nopeasti :

• 29. toukokuuta 2026: Hornby löytää virheen ja ilmoittaa siitä välittömästi .
• 29. toukokuuta – 1. kesäkuuta: Virhe korjataan koordinoidulla hätäpäivityksellä .
• 2. kesäkuuta: Hätäsoft fork (lohkossa 3 363 426) poistaa Orchard-tapahtumat käytöstä mahdollisen hyväksikäytön estämiseksi .
• 3. kesäkuuta: NU6.2-kova fork (hard fork) ottaa Orchardin uudelleen käyttöön korjatulla piirillä. Lohkoketjuselaimet olivat hetken poissa käytöstä, ja louhijat raportoivat tilapäisestä verkon epävakaudesta .

Zcash-säätiö totesi, ettei ole todisteita siitä, että vikaa olisi koskaan hyödynnetty todellisuudessa . Suojatun poolin yksityisyysominaisuuksien vuoksi ei kuitenkaan ole mitään kryptografista tapaa todistaa, onko väärennettyjä kolikoita koskaan luotu . Tästä perustavanlaatuisesta todennettavuuden puutteesta tuli keskeinen huolenaihe markkinoilla.

ZEC:n hinnan romahdus ja markkinavaikutus

Ennen julkista paljastusta ZEC:n kurssi oli yli 600 dollarissa . Kun bugi tuli julkisuuteen 5. kesäkuuta, tokenin arvo romahti :

• CoinMarketCap raportoi noin 31 prosentin laskusta .
• KuCoin raportoi yli 40 prosentin pudotuksesta .
• Bankless Times ja BitMEX raportoivat noin 50 prosentin romahduksesta huipulta pohjalle, kun ZEC putosi 624 dollarista 4. kesäkuuta 309 dollariin 5. kesäkuuta 2026 .

Romahdusta vahvisti luottamuspula Zcashin 21 miljoonan kolikon ylärajaan ja tungokseen asti täynnä olleiden pitkien positioiden purkautuminen . Tunnettu kauppias Arthur Hayes ilmoitti myös julkisesti luopuneensa positiostaan, mikä lisäsi myyntipainetta .

Kokonaiskuva: Tekoälyn vauhdittama löytäminen ohittaa ihmisten korjauskyvyn

Nämä kaksi tapausta, jotka osuivat samalle viikolle, eivät ole poikkeuksia. Ne ovat systeemisen muutoksen uusi perustaso kyberturvallisuudessa.

Nopeuden ja kustannusten epäsymmetria: Depthfirstin agentti löysi 21 bugia noin 21 000 dollarilla ; Hornby löysi katastrofaalisen kryptovirheen päivä uuden mallin julkaisun jälkeen . Ih mistiimit olivat olleet sokeita molemmille vuosien ajan. Taloudelliset realiteetit suosivat nyt selvästi hyökkääjiä, jotka voivat käyttää samankaltaisia autonomisia agentteja lähes olemattomin rajakustannuksin haavoittuvuuksien löytämiseen ja aseistamiseen.

Löytötulva ylläpitäjille: Samalla viikolla Google paikkasi ennätykselliset 429 bugia Chrome 149 -selaimesta . Mutta avoimen lähdekoodin projektit, kuten FFmpeg ja Debian, näyttävät jo nyt "lykättyjä" korjaustiloja tekoälyn löytämille CVE-tunnisteille . Löytöputki syytää uusia havaintoja nopeammin kuin vapaaehtoiset ylläpitäjät ehtivät käsitellä.

Kaava, ei vahinko: Tämä seurasi toukokuun 2026 tapausta, jossa Depthfirstin autonominen AI löysi 18 vuotta vanhan kekoylivuotovirheen NGINX-palvelinohjelmistosta (CVE-2026-42945, CVSS 9.2) vain kuudessa tunnissa . Teknologia löytää johdonmukaisesti ikivanhoja, kriittisiä bugeja, jotka ovat selvinneet kaikista aiemmista auditoinneista.

Ratkaisematon kysymys: Sitä, käytettiinkö Zcashin Orchard-virhettä koskaan salaa hyväksi, ei voida perustavanlaatuisesti todentaa . Pelkkä epävarmuus on jo vahingoittanut markkinoiden luottamusta ja herättää syvällisen kysymyksen kaikille yksityisyyteen keskittyville lohkoketjuille: voiko tekoälyn löytämää eheysvirhettä suojatussa poolissa koskaan täysin siivota, jos kukaan ei voi todistaa, ettei sitä käytetty?