Revolusi Pencarian Bug: AI Ungkap Cacat Puluhan Tahun di FFmpeg dan Zcash

Beberapa bug telah bersemayam selama 15 hingga 20 tahun, bahkan mendahului audit keamanan intensif dari Google dan Anthropic . Kerentanannya terutama berupa heap dan stack buffer overflow di berbagai komponen seperti TS demuxer dan VP9 decoder . Perusahaan ini juga mengembangkan PoC yang menunjukkan primitif eksploitasi remote code execution (RCE) .

Ini bukanlah penemuan FFmpeg pertama Depthfirst. Awal Mei, perusahaan melaporkan menemukan 12 bug korupsi memori di pustaka tersebut, beberapa di antaranya berasal dari kode tahun 2009, dan mengalokasikan hingga $5 juta dalam bentuk kredit untuk membantu proyek open-source memperbaiki celah yang ditemukan oleh AI . Terlepas dari upaya ini, jalur remediasi jelas-jelas terbebani. Per akhir Mei 2026, banyak CVE FFmpeg—termasuk CVE-2026-6385 dan CVE-2025-22921—masih terdaftar oleh Debian sebagai "belum ditambal" atau "ditunda" .

Implikasi intinya: Sebuah agen otonom yang beroperasi dengan total biaya sekitar $21.000 menemukan lebih banyak zero-day dalam satu pustaka daripada yang dapat ditemukan kebanyakan tim manusia dalam setahun. Hambatan kini telah bergeser secara meyakinkan dari penemuan ke penambalan.

Claude Opus 4.8 Menemukan Cacat Pemalsuan Berusia 4 Tahun di Zcash

Pada 29 Mei 2026, peneliti keamanan independen Taylor Hornby, yang sedang mengaudit protokol Zcash untuk Shielded Labs, menemukan kerentanan "soundness" kritis di kumpulan terlindungi (shielded pool) Orchard milik Zcash . Dia menemukannya hanya satu hari setelah Anthropic merilis model Claude Opus 4.8 pada 28 Mei .

Hornby membangun kerangka kerja "Zcash Full-Stack Auditor" kustom di atas Opus 4.8. Sistem ini menalar melalui batasan sirkuit zero-knowledge proof dari kumpulan Orchard dan mengangkat sebuah pemeriksaan yang hilang atau tidak lengkap dalam logika perkalian kurva eliptik—sebuah celah yang memungkinkan bukti palsu lolos validasi . Hornby kemudian menulis eksploitasi lokal yang berfungsi dan mencetak ZEC palsu di lingkungan pengujian .

Dampaknya sangat parah: Bug ini dapat dieksploitasi untuk secara diam-diam menciptakan token ZEC palsu dalam jumlah tak terbatas, mendobrak batas pasokan tetap Zcash sebanyak 21 juta koin . Celah ini sudah ada sejak aktivasi Orchard pada Mei 2022—sebuah celah tak terdeteksi selama empat tahun .

Respons Teknis Darurat

Pengembang Zcash dan Zcash Open Development Lab (ZODL) merespons dengan cepat :

• 29 Mei 2026: Hornby menemukan bug dan segera mengungkapkannya .
• 29 Mei – 1 Juni: Bug ditambal melalui pembaruan darurat terkoordinasi .
• 2 Juni: Sebuah soft fork darurat (pada blok 3.363.426) menonaktifkan transaksi Orchard untuk mencegah potensi eksploitasi .
• 3 Juni: Hard fork NU6.2 mengaktifkan kembali Orchard dengan sirkuit yang telah ditambal. Penjelajah blok sempat offline, dan para penambang melaporkan ketidakstabilan jaringan sementara .

Zcash Foundation menyatakan tidak ada bukti bahwa bug tersebut pernah dieksploitasi di alam liar . Namun, karena sifat privasi dari kumpulan terlindungi, tidak ada cara kriptografis untuk membuktikan apakah koin palsu pernah dicetak . Ketidakmampuan verifikasi mendasar ini menjadi perhatian utama pasar.

Kejatuhan Harga ZEC dan Dampak Pasar

Sebelum pengungkapan publik, ZEC diperdagangkan di level tertinggi di atas $600 . Begitu bug tersebut diketahui publik pada 5 Juni, nilai token tersebut anjlok :

• CoinMarketCap melaporkan penurunan ~31% .
• KuCoin melaporkan penurunan lebih dari 40% .
• Bankless Times dan BitMEX melaporkan kejatuhan sekitar 50% dari puncak ke lembah, dengan ZEC jatuh dari $624 pada 4 Juni menjadi $309 pada 5 Juni .

Kejatuhan diperkuat oleh erosi kepercayaan pada batas 21 juta Zcash dan pelepasan posisi long yang padat . Pedagang terkemuka Arthur Hayes juga secara publik keluar dari posisinya, menambah tekanan jual .

Gambaran Lebih Besar: Penemuan Berbasis AI Melampaui Remediasi Manusia

Kedua insiden ini, yang terjadi di minggu yang sama, bukanlah anomali. Ini adalah dasar baru untuk pergeseran sistemik dalam keamanan siber.

Asimetri kecepatan dan biaya: Agen Depthfirst menemukan 21 bug dengan biaya ~$21.000 ; Hornby menemukan celah kriptografis katastropik sehari setelah model baru diluncurkan . Tim manusia telah melewatkan keduanya selama bertahun-tahun. Secara ekonomi, situasi ini kini sangat menguntungkan penyerang, yang dapat menjalankan agen otonom serupa dengan biaya marjinal yang dapat diabaikan untuk menemukan dan mempersenjatai kerentanan.

Kelebihan volume bagi pengelola: Di minggu yang sama, Google menambal rekor 429 bug di Chrome 149 . Tetapi proyek open-source seperti FFmpeg dan Debian sudah menunjukkan status penambalan "ditunda" untuk CVE yang ditemukan oleh AI . Jalur penemuan membanjiri lebih cepat dari yang dapat ditangani oleh pengelola sukarelawan.

Sebuah pola, bukan kecelakaan: Ini mengikuti insiden Mei 2026 di mana AI otonom Depthfirst menemukan heap overflow berusia 18 tahun di NGINX (CVE-2026-42945, CVSS 9.2) hanya dalam enam jam . Teknologi ini secara konsisten menemukan bug kuno dan kritis yang telah selamat dari setiap audit sebelumnya.

Pertanyaan yang belum terjawab: Apakah bug Orchard Zcash pernah dieksploitasi secara diam-diam tetap pada dasarnya tidak dapat diverifikasi . Ketidakpastian itu sendiri telah merusak kepercayaan pasar dan menimbulkan pertanyaan mendalam untuk semua blockchain yang berfokus pada privasi: dapatkah bug soundness yang ditemukan AI di kumpulan terlindungi benar-benar dibersihkan sepenuhnya jika tidak ada yang bisa membuktikan bahwa bug itu tidak digunakan?