במאי 2026, חוקר האבטחה טיילור הורנבי השתמש במודל קלוד אופוס 4.8 של Anthropic כדי לגלות באג קריטי ב Zcash, שאיפשר הטבעה בלתי מוגבלת ובלתי ניתנת לזיהוי של מטבעות מזויפים במשך כארבע שנים. הפרצה, שאותרה במעגל אפס הוכחה של מאגר הפרטיות 'אורצ'רד', הדגימה לראשונה כיצד מודל שפה מתקדם יכול לאתר כשלים שחמקו שנים מביקורות אנוש...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
ב-28 במאי 2026, חברת Anthropic שחררה לציבור את מודל השפה המתקדם שלה, קלוד אופוס 4.8. תוך 24 שעות, חוקר האבטחה העצמאי טיילור הורנבי – שנשכר על ידי מעבדות שילדד (Shielded Labs) לביקורת על פרוטוקול Zcash – השתמש במודל כדי לאתר פרצה קריטית שהסתתרה בקוד במשך ארבע שנים תמימות . הגילוי הוביל לטלאי חירום, חשיפה פומבית, ומפולת בשווי המטבע שמחקה כ-40% עד 50% מערכו
. האירוע הזה הוא המקרה הראשון שאושר בפומבי שבו מודל שפה גדול מהדור החדש מוצא פרצה קריפטוגרפית קריטית בפרוטוקול אפס-הוכחה פעיל
.
טיילור הורנבי לא פשוט ביקש מקלוד אופוס 4.8 "למצוא באגים". הוא בנה תשתית ייעודית בשם "מבקר ה-Zcash המלא" (Zcash Full-Stack Auditor), שרתמה את יכולות החשיבה של המודל כדי להתחקות באופן שיטתי אחר הלוגיקה של מעגל מאגר הפרטיות "אורצ'רד" (Orchard) . הכלי איפשר להורנבי לכוון את הניתוח של ה-AI אל עבר מערכת ההוכחה באפס-ידע המורכבת מבוססת Halo2, שמאבטחת את העסקאות הפרטיות של Zcash.
ב-29 במאי, התשתית חשפה חוסר עקביות לוגית שמבקרים אנושיים – במהלך מספר ביקורות פורמליות מאז השקת אורצ'רד במאי 2022 – פספסו . הורנבי לא הסתפק בתיעוד של חולשה תיאורטית. הוא השתמש בגישה שנעזרה ב-AI כדי לכתוב ניצול (exploit) עובד, שהצליח להטביע מטבעות ZEC מזויפים בסביבת בדיקה מקומית
. מהירות הגילוי – תוך יום אחד בלבד משחרור המודל – הדגישה קפיצת מדרגה ביכולות של מחקר אבטחה המועצם על ידי AI
.
חשוב להדגיש: פריצת הדרך הייתה שיתוף פעולה בין מומחה אנושי מיומן לבין מודל מתקדם. ה-AI סיפק חשיבה שיטתית וזיהוי תבניות על פני בסיס קוד עצום. החוקר האנושי הגדיר את הבעיה, בנה את תשתית הביקורת, ואימת את הממצאים .
הפרצה הייתה באג "נאותות" (soundness) קריטי במעגל מאגר אורצ'רד, מנגנון הפרטיות העיקרי לעסקאות מוצפנות של Zcash . במערכת הוכחה באפס-ידע, "נאותות" פירושה שחייב להיות בלתי אפשרי חישובית ליצור הוכחה תקפה לטענה שקרית. המעגל של אורצ'רד הכיל רכיב לא מאולץ כראוי ששבר את התכונה הזו.
באופן ספציפי, ערך שהוחבא עמוק בתוך ארגז הכלים (crate) של רכיבי Halo2 נותר לא מעוגן לנקודת בסיס אמיתית, מה שאיפשר בפועל לקלטים מתמטיים לא תקפים לעבור בדיקה של עקום אליפטי . במילים פשוטות יותר, בדיקה שאמורה הייתה לאמת קלטים של עסקאות פשוט לא אכפה את הכללים שהיא התיימרה לאכוף
. התוצאה: תוקף יכול היה לזייף הוכחות אפס-ידע תקפות שאישרו יצירה של כמות בלתי מוגבלת של מטבעות ZEC מזויפים בתוך מאגר הפרטיות.
מכיוון שעסקאות אורצ'רד הן פרטיות מטבען, המטבעות המזויפים היו בלתי ניתנים להבחנה מאלו הלגיטימיים בשרשרת הבלוקים . לא הייתה שום דרך לבקר את הבלוקצ'יין ולראות את ההיצע המזויף. הבאג היה חי במערכת מאז הצגת אורצ'רד במאי 2022, כלומר הוא נותר בלתי מזוהה במשך כארבע שנים
.
למרבה הדאגה, בגלל מאפייני הפרטיות של אורצ'רד וטבעו של הכשל, מעבדות שילדד הצהירו כי אין שום שיטה קריפטוגרפית לקבוע האם הפרצה נוצלה אי פעם באופן זדוני . אי-הוודאות הזו הפכה למקור מרכזי לחרדה לאחר החשיפה.
ברגע שהורנבי דיווח על הבאג למעבדת הפיתוח הפתוחה של Zcash, התגובה הייתה מהירה :
וילקוקס אישר שהטלאי נפרס בהצלחה לפני ההודעה הפומבית, כלומר, לא ידוע על כספים שאבדו מניצול בעקבות החשיפה . גישת "תחילה לתקן, אחר כך לחשוף" המתואמת הלכה לפי הנוהג המקובל בניהול פרצות, אבל המהירות שנדרשה – מגילוי ועד למזלג קשיח כלל-רשתי תוך שלושה ימים – הייתה יוצאת דופן.
לאחר תיקון החירום, מעבדות שילדד ביקשו מ-Anthropic להריץ ביקורת נפרדת על הפרוטוקול המלא באמצעות מודל העל הסגור שלה, Mythos. הביקורת אישרה שלא קיימות פרצות קריטיות נוספות בפרוטוקול נכון ל-12 ביוני 2026 . הסקירה המקיפה סייעה חלקית בהשבת האמון, אף שחוסר הוודאות המרכזי בנוגע לניצול לפני התיקון נותר בעינו.
השווקים הגיבו בחומרה לחשיפה הפומבית ב-4 ביוני. מחירו של ZEC צנח בכ-40%–50% בימים שלאחר מכן, עם דיווחים שתיארו את המטבע כמי ש"נסחר ברמות גבוהות בהרבה שבועות קודם לכן" ונכנס לסחרור . מקורות מרובים מצטטים טווח ירידות שבין 31% ל-50%, כאשר הטווח המצוטט ביותר הוא כ-40%–50%
.
המכירה ההמונית שיקפה פאניקה בכמה חזיתות. ראשית, עצם חומרת הבאג – זיוף אינסופי ובלתי ניתן לגילוי במטבע פרטיות מוביל – חתרה תחת האמון הבסיסי בהבטחות האבטחה של הפרוטוקול. שנית, העובדה שמודל AI מצא כשל ששנים של ביקורות פורמליות בהובלת אדם פספסו, העלתה שאלות מטרידות לגבי משטח הפגיעות של מטבעות קריפטוגרפיים אחרים, כולל אתריום . שלישית, אי-הוודאות התמידית בשאלה האם הבאג כבר נוצל הותירה גירעון אמון שטלאי טכני לבדו לא יכול היה לסגור
.
הסוחרים העריכו מחדש את האבטחה של אחת מרשתות הפרטיות הבולטות בקריפטו, והתמחור מחדש היה מהיר וחמור .
תקרית ה-Zcash נתפסת באופן נרחב כרגע מכונן לפוטנציאל השימוש הכפול של AI באבטחת תוכנה קריטית .
הערך ההגנתי ברור. מודל AI, בשילוב עם הכוונה של מומחה אנושי, מצא באג קטסטרופלי שמבקרים אנושיים פספסו במשך ארבע שנים – ועשה זאת תוך יום אחד משחרור המודל. זה מדגים ש-AI מתקדם יכול לשפר באופן דרמטי את המהירות, העומק והשלמות של ביקורות אבטחה למערכות קריפטוגרפיות מורכבות . ביקורת ההמשך של Mythos, שניקתה את שאר הפרוטוקול, מרמזת על עתיד שבו ביקורת רציפה המונעת על ידי AI תהפוך לנוהג מקובל בתשתיות עתירות סיכון
.
הגישה של הורנבי – בניית תשתית סוכנית מותאמת אישית במקום פשוט להזין שאילתות למודל – גם הראתה שהיישומים ההגנתיים החזקים ביותר מגיעים משילוב AI לתוך זרימות עבודה שיטתיות של אבטחה, לא מהתייחסות אליו כאל אורקל עצמאי.
ההשלכות ההתקפיות חריפות באותה מידה. אותה יכולת שמצאה את הבאג הזה יכולה לשמש גורמים זדוניים לאיתור וניצול פרצות אפס-יום במהירות מכונה . אם קבוצת תקיפה הייתה מיישמת טכניקות דומות על Zcash לפני חוקר "כובע לבן", היא הייתה יכולה להטביע בשקט כמות בלתי מוגבלת של מטבעות מזויפים, לרוקן נזילות ולהיעלם – הכל לפני שטלאי כלשהו נפרס.
בלומברג תיאר את האירוע ככזה שהראה את "עוצמת איום הפריצה באמצעות AI" . כלי תקשורת ציינו שהאירוע העלה שאלות דחופות לגבי השאלה האם נורמות החשיפה האחראית הנוכחיות מכוילות לפרצות שמתגלות במהירות של AI
. כאשר AI יכול למצוא כשל קריטי תוך שעות, חלון הזמן לתיאום טלאי לפני ניצול עוין קורס.
חוקרי אבטחה הזהירו שזו אינה דאגה תיאורטית. תקרית Zcash היא הדוגמה הראשונה שאושרה בפומבי, אבל כמעט בטוח שהיא לא תהיה האחרונה .
אולי ההיבט המטריד ביותר של הפרשה כולה הוא חוסר הוודאות שלא ניתן לפתרון. מכיוון ש-Zcash הוא מטבע פרטיות, אין דרך להוכיח קריפטוגרפית האם הבאג נוצל במהלך ארבע שנות חייו . צוות הפיתוח העריך שהניצול הוא "בלתי סביר", אבל הם הודו שהם פשוטו כמשמעו לא יכולים לאשר זאת
. זה יוצר בעיית אמון מתמשכת – לא רק עבור Zcash, אלא עבור כל מערכת משמרת פרטיות שבה כשל יכול היה להיות מנוצל בשקט לפני גילויו.
תקרית Zcash מסמנת את סופו של העידן שבו אבטחת פרוטוקולים קריפטוגרפיים יכלה להסתמך אך ורק על ביקורות אנושיות תקופתיות. גילוי פרצות בסיוע AI הוא כעת יכולת מוכחת, עם כל הכוח הא-סימטרי שהדבר מרמז.
עבור מפתחי פרוטוקולים, ההשלכות ברורות: שילוב מודלי AI מתקדמים לתוך צינורות סקירת אבטחה רציפים אינו עוד אופציונלי – זה הכרחי, כי גורמים עוינים בוודאות יעשו את אותו הדבר. עבור קהילת ה-AI, האירוע מחזק את הצורך בפריסה מחושבת של יכולות שיכולות בקלות להיות מתועלות למטרות התקפיות. ועבור המערכת האקולוגית הרחבה של הקריפטו, הוא משמש כתזכורת חדה לכך שאפילו המערכות שנסקרו בקפדנות הרבה ביותר יכולות להכיל כשלים קטסטרופליים, ש-AI מכוון היטב יכול לחשוף תוך שעות.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
במאי 2026, חוקר האבטחה טיילור הורנבי השתמש במודל קלוד אופוס 4.8 של Anthropic כדי לגלות באג קריטי ב Zcash, שאיפשר הטבעה בלתי מוגבלת ובלתי ניתנת לזיהוי של מטבעות מזויפים במשך כארבע שנים.
במאי 2026, חוקר האבטחה טיילור הורנבי השתמש במודל קלוד אופוס 4.8 של Anthropic כדי לגלות באג קריטי ב Zcash, שאיפשר הטבעה בלתי מוגבלת ובלתי ניתנת לזיהוי של מטבעות מזויפים במשך כארבע שנים. הפרצה, שאותרה במעגל אפס הוכחה של מאגר הפרטיות 'אורצ'רד', הדגימה לראשונה כיצד מודל שפה מתקדם יכול לאתר כשלים שחמקו שנים מביקורות אנושיות.
האירוע הוא תמרור אזהרה: אותה טכנולוגיה שיכולה להגן על תשתיות קריפטו במהירות שיא, יכולה לשמש גם גורמים זדוניים לאיתור וניצול פרצות באופן מיידי.