Pada Mei 2026, penyelidik keselamatan Taylor Hornby menggunakan Claude Opus 4.8 oleh Anthropic untuk menemui bug kritikal Zcash yang wujud sejak 2022, yang berpotensi membolehkan penempaan syiling palsu tanpa had dan... Kerentanan itu adalah pepijat 'soundness' (kesahihan) dalam litar bukti pengetahuan sifar (zero k...

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Pada 28 Mei 2026, Anthropic melancarkan model Claude Opus 4.8 kepada umum. Dalam masa 24 jam, penyelidik keselamatan bebas Taylor Hornby—yang ditugaskan oleh Shielded Labs untuk mengaudit protokol Zcash—menggunakan model itu untuk menemui kerentanan kritikal yang bersembunyi di depan mata selama empat tahun . Penemuan itu mencetuskan tampalan kecemasan, pendedahan awam, dan kejatuhan pasaran yang menghapuskan kira-kira 40–50% daripada nilai ZEC
. Peristiwa ini merupakan kes pertama yang disahkan secara awam di mana model bahasa besar (LLM) termaju menemui kerentanan kriptografi kritikal dalam protokol pengetahuan-sifar (zero-knowledge) yang sedang beroperasi
.
Taylor Hornby tidak sekadar meminta Claude Opus 4.8 untuk "mencari pepijat." Beliau membina rangka kerja tersuai yang dipanggil "Zcash Full-Stack Auditor," yang memanfaatkan keupayaan penaakulan model untuk menjejak secara sistematik logik litar kolam terlindung Orchard Zcash . Alat ini membolehkan Hornby mengarahkan analisis AI kepada sistem bukti pengetahuan-sifar berasaskan Halo2 yang kompleks yang menjamin transaksi peribadi Zcash.
Pada 29 Mei, rangka kerja tersebut menemui satu ketidakselarasan logik yang terlepas pandang oleh juruaudit manusia—melalui pelbagai audit rasmi sejak pengaktifan Orchard pada Mei 2022 . Hornby bukan sahaja mendokumentasikan kelemahan teori; beliau menggunakan pendekatan berbantukan AI untuk menulis eksploitasi berfungsi yang berjaya menempa ZEC palsu dalam persekitaran ujian tempatan
. Kepantasan penemuan—dalam masa satu hari pelancaran model itu—menunjukkan perubahan langkah dalam apa yang boleh dicapai oleh penyelidikan keselamatan yang ditambah dengan AI
.
Penting untuk ditekankan bahawa kejayaan ini adalah hasil kerjasama antara pakar manusia yang mahir dan model termaju. AI menyediakan penaakulan sistematik dan pengecaman corak merentasi pangkalan kod yang besar; penyelidik manusia merangka masalah, membina abah-abah pengauditan, dan mengesahkan penemuan .
Kerentanan itu adalah pepijat soundness (kesahihan) kritikal dalam litar kolam terlindung Orchard, mekanisme privasi utama untuk transaksi terlindung Zcash . Dalam sistem bukti pengetahuan-sifar, "soundness" bermaksud mustahil secara pengiraan untuk mencipta bukti sah untuk pernyataan palsu. Litar Orchard mengandungi elemen 'kurang kekangan' (under-constrained) yang melanggar sifat ini.
Secara khusus, satu nilai jauh di dalam peti gajet Halo2 (Halo2 gadgets crate) dibiarkan tidak berpaut pada titik asas sebenar, secara berkesan membenarkan input matematik yang tidak sah melepasi pemeriksaan lengkung eliptik . Dalam istilah yang lebih mudah, pemeriksaan yang sepatutnya mengesahkan input transaksi tidak menguatkuasakan peraturan yang sepatutnya dikuatkuasakan
. Hasilnya: penyerang boleh memalsukan bukti pengetahuan-sifar yang sah yang membenarkan penciptaan ZEC palsu tanpa had dalam kolam terlindung.
Kerana transaksi Orchard adalah peribadi secara reka bentuk, syiling palsu itu tidak dapat dibezakan daripada yang sah dalam rantaian blok (on-chain) . Tidak ada cara untuk mengaudit rantaian blok dan melihat bekalan palsu itu. Pepijat ini telah wujud sejak pengenalan Orchard pada Mei 2022, bermakna ia berterusan tanpa dikesan selama kira-kira empat tahun
.
Yang penting, disebabkan oleh sifat privasi Orchard dan jenis kecacatan itu, Shielded Labs menyatakan bahawa tiada kaedah kriptografi untuk menentukan sama ada kerentanan itu pernah dieksploitasi di alam liar . Ketidakpastian ini menjadi punca utama kebimbangan selepas pendedahan.
Sebaik sahaja Hornby melaporkan pepijat itu kepada Zcash Open Development Lab, responsnya pantas :
Wilcox mengesahkan bahawa tampalan itu berjaya digunakan sebelum pengumuman awam, bermakna tiada dana diketahui hilang akibat eksploitasi selepas pendedahan . Pendekatan "tampal dahulu, dedah kemudian" yang diselaraskan mengikuti amalan pengurusan kerentanan standard, tetapi kelajuan yang diperlukan—dari penemuan hingga hard fork seluruh rangkaian dalam tiga hari—adalah luar biasa.
Selepas pembaikan kecemasan, Shielded Labs meminta Anthropic menjalankan audit protokol penuh berasingan menggunakan model termaju terhadnya, Mythos. Audit itu mengesahkan tiada kerentanan kritikal tambahan wujud dalam protokol setakat 12 Jun 2026 . Semakan menyeluruh ini membantu memulihkan sebahagian keyakinan, walaupun ketidakpastian teras mengenai eksploitasi pra-tampalan kekal.
Pasaran bertindak balas dengan keras terhadap pendedahan awam pada 4 Jun. Harga ZEC menjunam kira-kira 40–50% pada hari-hari berikutnya, dengan laporan menggambarkan syiling itu jatuh dari "paras yang jauh lebih tinggi hanya beberapa minggu sebelumnya" ke dalam kejatuhan mendadak . Pelbagai sumber memetik julat penurunan antara 31% dan 50%, dengan magnitud yang paling kerap dirujuk adalah kira-kira 40–50%
.
Penjualan besar-besaran mencerminkan panik di beberapa sudut. Pertama, tahap keterukan bug—pemalsuan tanpa had dan tidak dapat dikesan dalam syiling privasi utama—menjejaskan kepercayaan asas terhadap jaminan keselamatan protokol. Kedua, fakta bahawa model AI menemui kecacatan yang terlepas oleh audit formal yang diketuai manusia selama bertahun-tahun menimbulkan persoalan yang meresahkan tentang permukaan kerentanan mata wang kripto lain, termasuk Ethereum . Ketiga, ketidakpastian kekal sama ada bug itu telah dieksploitasi meninggalkan defisit kepercayaan yang tidak dapat ditutup oleh pembaikan teknikal sahaja
.
Pedagang menilai semula keselamatan salah satu rangkaian privasi paling terkemuka dalam kripto, dan penilaian semula harga adalah pantas dan teruk .
Insiden Zcash secara meluas dianggap sebagai detik penting untuk potensi dwiguna AI dalam keselamatan perisian kritikal .
Nilai pertahanan adalah jelas. Model AI, digabungkan dengan arahan pakar manusia, menemui bug katastrofik yang terlepas oleh juruaudit manusia selama empat tahun—dan melakukannya dalam masa satu hari selepas model itu dilancarkan . Ini menunjukkan bahawa AI termaju boleh meningkatkan kelajuan, kedalaman, dan kesempurnaan audit keselamatan secara dramatik untuk sistem kriptografi yang kompleks. Audit susulan Mythos yang membersihkan protokol selebihnya mencadangkan masa depan di mana pengauditan berterusan yang didorong oleh AI menjadi amalan standard untuk infrastruktur berisiko tinggi
.
Pendekatan Hornby—membina rangka kerja ejenik (agentic) tersuai dan bukannya hanya menggesa model—juga menunjukkan bahawa aplikasi pertahanan paling berkuasa datang daripada mengintegrasikan AI ke dalam aliran kerja keselamatan yang sistematik, bukan menganggapnya sebagai peramal (oracle) yang berdiri sendiri.
Implikasi serangan adalah sama jelas. Keupayaan yang sama yang menemui bug ini boleh dijadikan senjata oleh aktor jahat untuk menemui dan mengeksploitasi kerentanan zero-day pada kelajuan mesin . Jika kumpulan penggodam topi hitam (black-hat) telah menggunakan teknik serupa pada Zcash sebelum penyelidik topi putih (white-hat) melakukannya, mereka boleh secara senyap menempa syiling palsu tanpa had, mengalirkan kecairan, dan lenyap—semuanya sebelum sebarang tampalan digunakan.
Bloomberg menyifatkan peristiwa itu sebagai menunjukkan "magnitud ancaman penggodaman AI" . Agensi berita Bloomberg dan saluran lain menyatakan bahawa insiden itu menimbulkan persoalan mendesak tentang sama ada norma pendedahan bertanggungjawab semasa dikalibrasi untuk kerentanan yang ditemui pada kelajuan AI
. Apabila AI dapat menemui kecacatan kritikal dalam beberapa jam, tetingkap untuk penampalan terkoordinasi sebelum eksploitasi musuh runtuh.
Penyelidik keselamatan telah memberi amaran bahawa ini bukanlah kebimbangan teori. Insiden Zcash adalah contoh pertama yang disahkan secara terbuka, tetapi ia hampir pasti bukan yang terakhir .
Mungkin aspek yang paling meresahkan dari keseluruhan episod ini adalah ketidakpastian yang tidak dapat diselesaikan. Kerana Zcash adalah 'syiling privasi' (privacy coin), tiada cara untuk membuktikan secara kriptografi sama ada pepijat itu dieksploitasi sepanjang jangka hayat empat tahunnya . Pasukan pembangunan menilai eksploitasi sebagai "tidak mungkin," tetapi mereka mengakui bahawa mereka benar-benar tidak dapat mengesahkannya
. Ini mewujudkan masalah kepercayaan yang berkekalan—bukan hanya untuk Zcash, tetapi untuk mana-mana sistem pemeliharaan privasi di mana kecacatan boleh dieksploitasi secara senyap sebelum penemuan.
Insiden Zcash menandakan berakhirnya era di mana keselamatan protokol kriptografi hanya boleh bergantung pada audit manusia berkala. Penemuan kerentanan berbantukan AI kini merupakan keupayaan yang telah ditunjukkan, dengan semua kuasa asimetri yang tersirat.
Bagi pembangun protokol, implikasinya jelas: mengintegrasikan model AI termaju ke dalam saluran paip semakan keselamatan berterusan bukan lagi pilihan—ia adalah satu kemestian, kerana musuh pasti akan melakukan perkara yang sama. Bagi komuniti AI, peristiwa itu mengukuhkan keperluan untuk penggunaan keupayaan yang bijak yang boleh dengan mudah digunakan semula untuk serangan. Dan bagi ekosistem kripto yang lebih luas, ia berfungsi sebagai peringatan keras bahawa walaupun sistem yang paling ketat disemak boleh menyembunyikan kecacatan katastrofik yang boleh ditemui oleh AI yang diarahkan dengan baik dalam beberapa jam.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Pada Mei 2026, penyelidik keselamatan Taylor Hornby menggunakan Claude Opus 4.8 oleh Anthropic untuk menemui bug kritikal Zcash yang wujud sejak 2022, yang berpotensi membolehkan penempaan syiling palsu tanpa had dan...
Pada Mei 2026, penyelidik keselamatan Taylor Hornby menggunakan Claude Opus 4.8 oleh Anthropic untuk menemui bug kritikal Zcash yang wujud sejak 2022, yang berpotensi membolehkan penempaan syiling palsu tanpa had dan... Kerentanan itu adalah pepijat 'soundness' (kesahihan) dalam litar bukti pengetahuan sifar (zero knowledge proof) kolam terlindung Orchard Zcash, yang membolehkan penyerang melepasi semakan pengesahan transaksi.
Insiden ini merupakan demonstrasi penting tentang sifat dwiguna AI dalam keselamatan siber — secara mendadak mempercepatkan audit pertahanan sambil menunjukkan bagaimana keupayaan yang sama boleh dijadikan senjata unt...