L'IA scova bug nascosti da 20 anni: il caso FFmpeg e il crollo di Zcash

Molti di questi bug erano rimasti latenti per 15-20 anni, antecedendo persino gli intensi audit di sicurezza condotti da colossi come Google e Anthropic . Le vulnerabilità, per lo più overflow di buffer nell'heap e nello stack in componenti come il demuxer TS e il decoder VP9, rappresentavano un rischio concreto . L'azienda ha anche sviluppato un PoC che dimostrava una primitiva per l'esecuzione di codice in remoto (RCE) .

Non era la prima scoperta di Depthfirst in FFmpeg. Già a maggio, l'azienda aveva segnalato 12 bug di corruzione della memoria, alcuni dei quali risalenti a codice del 2009, impegnando fino a 5 milioni di dollari in crediti per aiutare i progetti open-source a correggere i difetti scoperti dall'IA . Nonostante questi sforzi, la pipeline di correzione è sotto evidente sforzo. A fine maggio 2026, molte CVE di FFmpeg, tra cui CVE-2026-6385 e CVE-2025-22921, risultavano ancora "non corrette" o "rinviate" da Debian .

L'implicazione fondamentale: Un agente autonomo che ha operato per circa 21.000 dollari totali ha trovato più zero-day in una singola libreria di quante ne trovi la maggior parte dei team umani in un anno. Il collo di bottiglia si è spostato in modo decisivo dalla scoperta alla correzione.

Claude Opus 4.8 scova un bug di contraffazione in Zcash vecchio di 4 anni

Il 29 maggio 2026, il ricercatore di sicurezza indipendente Taylor Hornby, durante un audit del protocollo Zcash per conto di Shielded Labs, ha scoperto una vulnerabilità critica di "correttezza" (soundness) nel pool schermato Orchard di Zcash . L'ha trovata appena un giorno dopo il lancio del modello Claude Opus 4.8 di Anthropic, avvenuto il 28 maggio .

Hornby ha costruito un framework personalizzato, "Zcash Full-Stack Auditor", basato su Opus 4.8. Questo sistema ha ragionato sui vincoli del circuito a conoscenza zero di Orchard, facendo emergere un controllo mancante o incompleto nella logica di moltiplicazione su curva ellittica, un difetto che permetteva a prove contraffatte di superare la validazione . Hornby ha poi scritto un exploit locale funzionante che coniava ZEC falsi in un ambiente di test .

L'impatto era catastrofico: Il bug avrebbe potuto essere sfruttato per creare, in modo non rilevabile, una quantità illimitata di token ZEC falsi, infrangendo il tetto massimo di fornitura di 21 milioni di monete di Zcash . La falla era presente dall'attivazione di Orchard, nel maggio 2022, rappresentando una finestra di quattro anni inosservata .

La risposta tecnica d'emergenza

Gli sviluppatori di Zcash e lo Zcash Open Development Lab (ZODL) hanno reagito rapidamente :

• 29 maggio 2026: Hornby scopre il bug e lo divulga immediatamente .
• 29 maggio – 1 giugno: Il bug viene corretto tramite un aggiornamento d'emergenza coordinato .
• 2 giugno: Un soft fork d'emergenza (al blocco 3.363.426) disabilita le transazioni Orchard per prevenire qualsiasi potenziale sfruttamento .
• 3 giugno: L'hard fork NU6.2 riabilita Orchard con il circuito corretto. I block explorer sono rimasti offline per un breve periodo e i miner hanno segnalato un'instabilità temporanea della rete .

La Zcash Foundation ha dichiarato che non ci sono prove che il bug sia mai stato sfruttato . Tuttavia, a causa delle proprietà di privacy del pool schermato, non esiste alcun modo crittografico per dimostrare se siano mai state coniate monete false . Questa fondamentale non verificabilità è diventata una preoccupazione centrale per il mercato.

Il crollo del prezzo di ZEC e l'impatto sul mercato

Prima della divulgazione pubblica, ZEC veniva scambiato a massimi superiori ai 600 dollari . Quando la notizia del bug è diventata pubblica il 5 giugno, il valore del token è precipitato :

• CoinMarketCap ha riportato un calo di circa il 31% .
• KuCoin ha segnalato un declino di oltre il 40% .
• Bankless Times e BitMEX hanno registrato un crollo di circa il 50% dal picco al minimo, con ZEC che è passato da $624 il 4 giugno a $309 il 5 giugno .

Il crollo è stato amplificato dall'erosione della fiducia nel tetto massimo di 21 milioni di ZEC e dallo scioglimento di affollate posizioni long . Anche il noto trader Arthur Hayes ha pubblicamente abbandonato la sua posizione, aggiungendo pressione di vendita .

Il quadro generale: la scoperta dell'IA supera la capacità di correzione umana

Questi due incidenti, avvenuti nella stessa settimana, non sono anomalie. Rappresentano la nuova normalità di un cambiamento sistemico nella cybersecurity.

Asimmetria di velocità e costo: L'agente di Depthfirst ha trovato 21 bug per circa 21.000 dollari ; Hornby ha scovato una falla crittografica catastrofica il giorno dopo il lancio di un nuovo modello . I team umani non avevano visto nulla per anni. L'economia ora favorisce nettamente gli attaccanti, che possono eseguire agenti autonomi simili a un costo marginale irrisorio per scoprire e armare le vulnerabilità.

Sovraccarico di volume per i manutentori: Nella stessa settimana, Google ha corretto la cifra record di 429 bug in Chrome 149 . Ma progetti open-source come FFmpeg e Debian stanno già mostrando stati di correzione "rinviata" per le CVE scoperte dall'IA . Il flusso di scoperte sta crescendo più velocemente di quanto i manutentori volontari possano gestire.

Uno schema, non un incidente: Questo episodio segue quanto accaduto a maggio 2026, quando l'IA autonoma di Depthfirst scoprì un overflow dell'heap vecchio di 18 anni in NGINX (CVE-2026-42945, CVSS 9.2) in sole sei ore . La tecnologia sta trovando con costanza bug antichi e critici che sono sopravvissuti a ogni precedente audit.

La questione irrisolta: Resta fondamentalmente non verificabile se il bug di Zcash Orchard sia mai stato sfruttato in segreto . Questa sola incertezza ha danneggiato la fiducia del mercato e solleva una domanda profonda per tutte le blockchain incentrate sulla privacy: un bug di correttezza in un pool schermato, scoperto dall'IA, può mai essere completamente ripulito se nessuno può dimostrare che non sia stato utilizzato?