Ejen AI Dedah 21 Kerentanan FFmpeg dan Pepijat Zcash Kritikal dalam Masa Beberapa Hari — Manusia Terlepas Pandang Berdekad

Beberapa pepijat tersebut telah terpendam selama 15 hingga 20 tahun, mendahului audit keselamatan intensif oleh Google dan Anthropic . Kerentanan tersebut kebanyakannya adalah limpahan penimbal timbunanan dan tindanan merentas komponen seperti penyahmultipleks TS dan penyahkod VP9 . Syarikat itu juga membangunkan PoC yang menunjukkan primitif eksploitasi pelaksanaan kod jarak jauh (RCE) .

Ini bukan penemuan FFmpeg pertama Depthfirst. Awal Mei lalu, firma itu melaporkan menemui 12 pepijat kerosakan ingatan dalam pustaka tersebut, sebahagiannya berpunca daripada kod dari tahun 2009, dan komited sehingga $5 juta dalam bentuk kredit untuk membantu projek sumber terbuka membaiki kelemahan yang ditemui AI . Walaupun dengan usaha ini, saluran pemulihan jelas tertekan. Sehingga akhir Mei 2026, banyak CVE FFmpeg—termasuk CVE-2026-6385 dan CVE-2025-22921—masih disenaraikan oleh Debian sebagai belum ditampal atau "ditangguhkan" .

Implikasi teras: Sebuah ejen autonomi beroperasi dengan jumlah kos sekitar $21,000 telah menemui lebih banyak kerentanan sifar-hari dalam satu pustaka berbanding kebanyakan pasukan manusia dalam setahun. Kesesakan kini telah beralih secara drastik dari penemuan kepada penampalan.

Claude Opus 4.8 Menemui Kelemahan Pemalsuan Berusia 4 Tahun dalam Zcash

Pada 29 Mei 2026, penyelidik keselamatan bebas Taylor Hornby, yang mengaudit protokol Zcash untuk Shielded Labs, menemui kerentanan "kekukuhan" kritikal dalam kolam terlindung Orchard Zcash . Beliau menemuinya hanya sehari selepas Anthropic melancarkan model Claude Opus 4.8 pada 28 Mei .

Hornby membina rangka kerja "Juruaudit Tindanan Penuh Zcash" tersuai di atas Opus 4.8. Sistem ini menaakul melalui kekangan litar bukti pengetahuan-sifar kolam Orchard dan mendedahkan pemeriksaan yang hilang atau tidak lengkap dalam logik pendaraban lengkung eliptik—satu kelemahan yang membenarkan bukti palsu melepasi pengesahan . Hornby kemudian menulis eksploitasi setempat yang berfungsi dan mencetak ZEC palsu dalam persekitaran ujian .

Kesannya sangat teruk: Pepijat ini boleh dieksploitasi untuk mencipta bilangan token ZEC palsu tanpa had secara rahsia, melanggar had bekalan tetap 21 juta syiling Zcash . Kelemahan ini telah wujud sejak pengaktifan Orchard pada Mei 2022—tempoh empat tahun yang tidak dikesan .

Tindak Balas Teknikal Kecemasan

Pembangun Zcash dan Makmal Pembangunan Terbuka Zcash (ZODL) bertindak balas dengan pantas :

• 29 Mei 2026: Hornby menemui pepijat dan segera mendedahkannya .
• 29 Mei – 1 Jun: Pepijat ditampal melalui kemas kini kecemasan terkoordinasi .
• 2 Jun: Garpu lembut kecemasan (pada blok 3,363,426) melumpuhkan transaksi Orchard untuk mencegah sebarang kemungkinan eksploitasi .
• 3 Jun: Garpu keras NU6.2 mengaktifkan semula Orchard dengan litar yang telah ditampal. Penjelajah blok terputus sambungan buat sementara waktu, dan pelombong melaporkan ketidakstabilan rangkaian sementara .

Yayasan Zcash menyatakan tiada bukti pepijat ini pernah dieksploitasi dalam keadaan sebenar . Walau bagaimanapun, disebabkan sifat privasi kolam terlindung, tidak ada cara kriptografi untuk membuktikan sama ada syiling palsu pernah dicetak . Ketidakbolehsahan asas ini menjadi kebimbangan utama pasaran.

Kejatuhan Harga ZEC dan Kesan Pasaran

Sebelum pendedahan awam, ZEC didagangkan pada paras tertinggi melebihi $600 . Sebaik sahaja pepijat itu diketahui umum pada 5 Jun, nilai token merudum :

• CoinMarketCap melaporkan penurunan ~31% .
• KuCoin melaporkan penurunan melebihi 40% .
• Bankless Times dan BitMEX melaporkan kejatuhan kira-kira 50% dari puncak ke lembah, dengan ZEC jatuh dari $624 pada 4 Jun kepada $309 pada 5 Jun .

Kejatuhan ini diperkuat oleh hakisan kepercayaan terhadap had 21 juta Zcash dan pembatalan posisi panjang yang sesak . Pedagang terkemuka Arthur Hayes juga secara terbuka keluar dari posisinya, menambah tekanan jualan .

Gambaran Lebih Besar: Penemuan Pacuan AI Mengatasi Pemulihan Manusia

Kedua-dua insiden ini, yang tiba dalam minggu yang sama, bukanlah peristiwa terpencil. Ia adalah garis dasar baharu untuk anjakan sistemik dalam keselamatan siber.

Asimetri kelajuan dan kos: Ejen Depthfirst menemui 21 pepijat dengan kos ~$21,000 ; Hornby menemui kelemahan kripto yang besar sehari selepas model baharu dilancarkan . Pasukan manusia telah terlepas pandang kedua-duanya selama bertahun-tahun. Ekonomi kini sangat memihak kepada penyerang, yang boleh menjalankan ejen autonomi serupa pada kos marginal yang boleh diabaikan untuk menemui dan menjadikan kerentanan sebagai senjata.

Lebihan muatan volum untuk penyelenggara: Pada minggu yang sama, Google menampal rekod 429 pepijat dalam Chrome 149 . Tetapi projek sumber terbuka seperti FFmpeg dan Debian sudah menunjukkan status penampalan "ditangguhkan" untuk CVE yang ditemui AI . Saluran penemuan memancut lebih cepat daripada yang mampu dikendalikan oleh penyelenggara sukarelawan.

Satu corak, bukan kemalangan: Ini menyusuli insiden Mei 2026 di mana AI autonomi Depthfirst menemui limpahan timbunanan berusia 18 tahun dalam NGINX (CVE-2026-42945, CVSS 9.2) hanya dalam masa enam jam . Teknologi ini secara konsisten menemui pepijat lama dan kritikal yang telah terselamat daripada setiap audit sebelumnya.

Persoalan yang belum terjawab: Sama ada pepijat Orchard Zcash pernah dieksploitasi secara rahsia kekal pada asasnya tidak dapat disahkan . Ketidakpastian itu sahaja telah merosakkan keyakinan pasaran dan menimbulkan persoalan mendalam untuk semua rantaian blok yang memfokuskan privasi: bolehkah pepijat kekukuhan dalam kolam terlindung yang ditemui AI benar-benar dibersihkan sepenuhnya jika tiada sesiapa yang dapat membuktikan ia tidak pernah digunakan?