Toukokuussa 2026 tietoturvatutkija Taylor Hornby käytti Anthropicin Claude Opus 4.8 mallia ja löysi Zcashista kriittisen bugin, joka oli ollut olemassa vuodesta 2022 ja mahdollisti teoreettisesti rajattoman, huomaamat... Haavoittuvuus oli rakennevika Zcashin Orchard yksityisyyspoolin nollatietotodistepiirissä, mikä...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Toukokuun 28. päivänä 2026 Anthropic julkaisi Claude Opus 4.8 -tekoälymallinsa yleisölle. Seuraavan 24 tunnin aikana riippumaton tietoturvatutkija Taylor Hornby – jonka Shielded Labs oli palkannut auditoimaan Zcash-protokollaa – käytti juuri tätä mallia löytääkseen kriittisen haavoittuvuuden, joka oli piileskellyt koodissa neljä vuotta aivan silmien edessä . Löydös laukaisi hätäpäivityksen, julkisen tiedotteen ja markkinamyllerryksen, joka pyyhki noin 40–50 prosenttia ZEC:n arvosta
. Tapaus on ensimmäinen julkisesti varmistettu kerta, kun kehittynyt suuri kielimalli löytää kriittisen kryptografisen haavoittuvuuden tuotantokäytössä olevasta nollatietoprotokollasta
.
Taylor Hornby ei vain pyytänyt Claude Opus 4.8:aa "etsimään bugeja". Hän rakensi räätälöidyn kehyksen nimeltä "Zcash Full-Stack Auditor", joka hyödynsi mallin päättelykykyä käydäkseen järjestelmällisesti läpi Zcashin Orchard-suojatun poolin piirilogiikan . Työkalu antoi Hornbylle mahdollisuuden suunnata tekoälyn analyysin monimutkaiseen Halo2-pohjaiseen nollatietotodistejärjestelmään, joka turvaa Zcashin yksityiset transaktiot.
Toukokuun 29. päivänä kehys nosti esiin loogisen epäjohdonmukaisuuden, jonka ihmisauditoijat – useissa muodollisissa tarkastuksissa Orchardin käyttöönotosta toukokuussa 2022 lähtien – olivat missanneet . Hornby ei ainoastaan dokumentoinut teoreettista heikkoutta, vaan käytti tekoälyavusteista lähestymistapaa kirjoittaakseen toimivan hyväksikäyttökoodin (exploit), joka onnistui luomaan väärennettyjä ZEC-kolikoita paikallisessa testiympäristössä
. Löydön nopeus – vuorokauden sisällä mallin julkisesta julkaisusta – korosti selkeää harppausta siinä, mihin tekoälyavusteinen tietoturvatutkimus pystyy
.
On tärkeää painottaa, että läpimurto oli yhteistyötä taitavan ihmisasiantuntijan ja kehittyneen tekoälymallin välillä. Tekoäly tarjosi järjestelmällistä päättelyä ja mallintunnistusta valtavan koodipohjan läpi; ihminen määritteli ongelman, rakensi auditointikehyksen ja validoi löydökset .
Haavoittuvuus oli kriittinen rakennevirhe ("soundness bug") Orchard-suojatun poolin piirissä, joka on Zcashin suojattujen transaktioiden ensisijainen yksityisyysmekanismi . Nollatietotodistejärjestelmässä "soundness" tarkoittaa, että väärälle väittämälle pitäisi olla laskennallisesti mahdotonta luoda validia todistetta. Orchard-piiri sisälsi alimitoitetun elementin, joka rikkoi tämän ominaisuuden.
Tarkemmin sanottuna arvo syvällä Halo2-komponenttikirjastossa (gadgets crate) oli jätetty ankkuroimatta todelliseen peruspisteeseen, mikä käytännössä päästi matemaattisesti virheelliset syötteet läpi elliptisten käyrien tarkastuksesta . Yksinkertaisemmin ilmaistuna: tarkastus, jonka piti validoida transaktioiden syötteitä, ei itse asiassa noudattanut sääntöjä, joita sen näytti noudattavan
. Seuraus: hyökkääjä olisi voinut luoda väärennetyt nollatietotodisteet, jotka valtuuttivat rajattoman määrän väärennettyjä ZEC-kolikoita suojatun poolin sisällä.
Koska Orchard-transaktiot ovat lähtökohtaisesti yksityisiä, väärennetyt kolikot olisivat olleet lohkoketjussa erottamattomia aidoista . Ei olisi mitään keinoa auditoida lohkoketjua ja nähdä väärennettyä tarjontaa. Bugi oli ollut aktiivisena Orchardin käyttöönotosta toukokuussa 2022, eli se pysyi havaitsemattomana noin neljä vuotta
.
Ratkaisevaa on, että Orchardin yksityisyysominaisuuksien ja vian luonteen vuoksi Shielded Labs totesi, ettei ole mitään kryptografista menetelmää määrittää, käytettiinkö haavoittuvuutta koskaan hyväksi . Tästä epävarmuudesta tuli keskeinen huolenaihe tiedotteen jälkimainingeissa.
Kun Hornby raportoi bugin Zcash Open Development Labille, vastaus oli nopea :
Wilcox vahvisti, että korjaus otettiin onnistuneesti käyttöön ennen julkista ilmoitusta, eli tiedossa ei ole, että varoja olisi menetetty hyväksikäytölle tiedotteen julkaisun jälkeen . Koordinoitu "ensin korjaus, sitten tiedotus" -lähestymistapa noudatti tavanomaista haavoittuvuuksien hallintakäytäntöä, mutta vaadittu nopeus – löydöstä koko verkon kattavaan kovaan haarautumiseen kolmessa päivässä – oli poikkeuksellinen.
Hätäkorjauksen jälkeen Shielded Labs pyysi Anthropicia suorittamaan erillisen koko protokollan auditoinnin käyttäen sen rajoitettua kehittynyttä Mallia, Mythosia. Auditoinnoin vahvistettiin, ettei protokollassa ollut muita kriittisiä haavoittuvuuksia 12. kesäkuuta 2026 . Kattava tarkastus auttoi osittain palauttamaan luottamusta, vaikka keskeinen epävarmuus haavoittuvuuden hyväksikäytöstä ennen korjausta säilyikin.
Markkinat reagoivat rajusti julkiseen tiedotteeseen 4. kesäkuuta. ZEC:n hinta putosi noin 40–50 % seuraavina päivinä, ja raportit kuvailivat kolikon menneen "paljon korkeammilta tasoilta vain viikkoja aiemmin" syöksykierteeseen . Useat lähteet viittaavat 31–50 %:n laskuun, ja yleisimmin mainittu laajuus on noin 40–50 %
.
Myyntiaalto heijasti paniikkia usealla rintamalla. Ensinnäkin bugin pelkkä vakavuus – ääretön, havaitsematon väärentäminen suuressa yksityisyysvaluutassa – murensi perustavanlaatuista luottamusta protokollan turvatakuisiin. Toiseksi se tosiasia, että tekoälymalli löysi vian, jonka vuosien ihmisvetoiset muodolliset auditoinnit olivat missanneet, herätti epämiellyttäviä kysymyksiä muiden kryptovaluuttojen, mukaan lukien Ethereumin, haavoittuvuuspinnasta . Kolmanneksi pysyvä epävarmuus siitä, oliko bugia jo käytetty hyväksi, jätti luottamusvajeen, jota pelkkä tekninen korjaus ei yksin pystynyt paikkaamaan
.
Sijoittajat arvioivat uudelleen yhden kryptomaailman tunnetuimman yksityisyysverkoston turvallisuutta, ja uudelleenhinnoittelu oli nopea ja raju .
Zcash-tapausta pidetään laajalti vedenjakajahetkenä tekoälyn kaksikäyttöpotentiaalille kriittisissä ohjelmistoturvallisuuskysymyksissä .
Puolustuksellinen arvo on selvä. Tekoälymalli yhdistettynä asiantuntevaan ihmisohjaukseen löysi katastrofaalisen bugin, jonka ihmisauditoijat olivat missanneet neljä vuotta – ja teki sen vuorokauden sisällä mallin julkaisusta . Tämä osoittaa, että kehittynyt tekoäly voi dramaattisesti parantaa monimutkaisten kryptografisten järjestelmien tietoturva-auditointien nopeutta, syvyyttä ja kattavuutta. Jälkikäteen tehty Mythos-auditointi, joka antoi protokollan muulle osalle puhtaat paperit, viittaa tulevaisuuteen, jossa tekoälyavusteinen jatkuva auditointi on vakiokäytäntö korkean panoksen infrastruktuurille
.
Hornbyn lähestymistapa – räätälöidyn agenttikehyksen rakentaminen pelkän mallin kehottamisen sijaan – osoitti myös, että tehokkaimmat puolustukselliset sovellukset syntyvät integroimalla tekoäly järjestelmällisiin tietoturvatyönkulkuihin, ei käsittelemällä sitä itsenäisenä oraakkelina.
Hyökkäykselliset seuraukset ovat yhtä karuja. Samaa kyvykkyyttä, jolla tämä bugi löydettiin, voivat pahantahtoiset toimijat käyttää aseena löytääkseen ja hyödyntääkseen nollapäivähaavoittuvuuksia koneälyn nopeudella . Jos black hat -ryhmä olisi soveltanut samankaltaisia tekniikoita Zcashiin ennen white hat -tutkijaa, he olisivat voineet hiljaa luoda rajattomasti väärennettyjä kolikoita, tyhjentää likviditeetin ja kadota – kaiken tämän ennen kuin mitään korjausta olisi ehditty ottaa käyttöön.
Bloomberg kuvasi tapausta osoitukseksi "tekoälyhakkeroinnin uhkan suuruudesta" . Bloomberg ja muut mediat huomauttivat, että tapaus nosti esiin kiireellisiä kysymyksiä siitä, ovatko nykyiset vastuullisen tiedottamisen normit kalibroitu tekoälynopeudella löydettyihin haavoittuvuuksiin
. Kun tekoäly voi löytää kriittisen vian tunneissa, aikaikkuna koordinoidulle korjaamiselle ennen vihamielistä hyväksikäyttöä romahtaa.
Tietoturvatutkijat ovat varoittaneet, ettei tämä ole teoreettinen huoli. Zcash-tapaus on ensimmäinen julkisesti varmistettu esimerkki, mutta se ei lähes varmasti jää viimeiseksi .
Ehkä koko episodin huolestuttavin piirre on ratkaisematon epävarmuus. Koska Zcash on yksityisyysvaluutta, ei ole mitään kryptografista tapaa todistaa, käytettiinkö bugia hyväksi sen nelivuotisen elinkaaren aikana . Kehitystiimi piti hyväksikäyttöä "epätodennäköisenä", mutta he myönsivät, etteivät kirjaimellisesti voi varmistaa asiaa
. Tämä luo pysyvän luottamusongelman – ei vain Zcashille, vaan mille tahansa yksityisyyttä suojaavalle järjestelmälle, jossa vika olisi voitu hiljaa hyödyntää ennen sen löytymistä.
Zcash-tapaus merkitsee sen aikakauden loppua, jolloin kryptografisten protokollien turvallisuus saattoi nojata pelkästään määräaikaisiin ihmisauditointeihin. Tekoälyavusteinen haavoittuvuuksien löytäminen on nyt osoitettu kyvykkyys, kaikkine sen implikoimine epäsymmetrisine voimineen.
Protokollakehittäjille seuraukset ovat selvät: kehittyneiden tekoälymallien integrointi jatkuviin turvallisuustarkistusputkiin ei ole enää valinnaista – se on välttämätöntä, koska vastustajat tekevät varmasti samoin. Tekoäly-yhteisölle tapahtuma korostaa tarvetta harkitulle käyttöönotolle kyvykkyyksille, jotka on helppo valjastaa hyökkäykselliseen käyttöön. Ja laajemmalle kryptoekosysteemille se toimii karuna muistutuksena siitä, että jopa kaikkein tarkimmin tarkastellut järjestelmät voivat kätkeä katastrofaalisia vikoja, jotka hyvin ohjattu tekoäly voi nostaa pintaan tunneissa.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Toukokuussa 2026 tietoturvatutkija Taylor Hornby käytti Anthropicin Claude Opus 4.8 mallia ja löysi Zcashista kriittisen bugin, joka oli ollut olemassa vuodesta 2022 ja mahdollisti teoreettisesti rajattoman, huomaamat...
Toukokuussa 2026 tietoturvatutkija Taylor Hornby käytti Anthropicin Claude Opus 4.8 mallia ja löysi Zcashista kriittisen bugin, joka oli ollut olemassa vuodesta 2022 ja mahdollisti teoreettisesti rajattoman, huomaamat... Haavoittuvuus oli rakennevika Zcashin Orchard yksityisyyspoolin nollatietotodistepiirissä, mikä olisi sallinut hyökkääjälle väärien transaktioiden validoinnin lohkoketjussa.
Tapaus on merkkipaalu tekoälyn kaksikäyttöluonteelle kyberturvallisuudessa – se nopeuttaa puolustuksellista auditointia dramaattisesti, mutta osoittaa samalla, miten samaa kyvykkyyttä voidaan käyttää hyökkäyksellisten...