AI vindt fouten die mensen decennialang over het hoofd zagen: de FFmpeg- en Zcash-ontdekkingen

Twee grote cyberincidenten eind mei en begin juni 2026 hebben de regels van het vinden van kwetsbaarheden compleet herschreven. Binnen een paar dagen tijd vond een volledig autonome AI-agent 21 voorheen onbekende bugs in FFmpeg, terwijl een beveiligingsonderzoeker met een gloednieuw AI-model een catastrofale fout in Zcash ontdekte die al vier jaar verborgen zat. Samen leggen ze een snoeiharde nieuwe realiteit bloot: AI kan diepe, oeroude bugs vinden tegen een snelheid en prijs die de bestaande patch-infrastructuur van de beveiligingsindustrie simpelweg niet kan bijbenen .

De AI-agent van DepthFirst vindt 21 zero-days in de digitale motor van de video-industrie

Op 2 juni 2026 maakte beveiligingsstartup DepthFirst bekend dat zijn autonome AI-agent 21 zero-day kwetsbaarheden had gevonden in FFmpeg. FFmpeg is een opensource-multimedialibrary die is ingebouwd in vrijwel elke videoverwerkende applicatie ter wereld. Denk aan mediaspelers, streamingdiensten, videobewerkingssoftware en zelfs besturingssystemen . De agent scande ongeveer 1,5 miljoen regels C-code en produceerde concrete, reproduceerbare proof-of-concept (PoC) exploits voor naar schatting $1.000 per vondst – een fractie van de kosten van een handmatige audit .

Verschillende bugs waren al 15 tot 20 jaar latent aanwezig, dus al van voor de grondige veiligheidsaudits door techreuzen als Google en Anthropic . De kwetsbaarheden bestonden voornamelijk uit heap- en stack-bufferoverflows in onderdelen zoals de TS-demuxer en VP9-decoder . Het bedrijf ontwikkelde ook een PoC die een primitief voor uitvoering van externe code (RCE) aantoont .

Dit was niet de eerste keer dat DepthFirst FFmpeg onder de loep nam. Eerder in mei rapporteerde het bedrijf al 12 geheugencorruptiebugs, waarvan een aantal terugging tot code uit 2009. Het bedrijf stelde tot $5 miljoen aan credits beschikbaar om opensourceprojecten te helpen door AI gevonden fouten op te lossen . Ondanks deze inspanningen kraakt het reparatieproces in zijn voegen. Eind mei 2026 stonden veel FFmpeg-CVE’s – waaronder CVE-2026-6385 en CVE-2025-22921 – bij Debian nog steeds als ongepatcht of "uitgesteld" te boek .

De kernboodschap: Een autonome agent die in totaal voor ongeveer $21.000 draaide, vond in één library meer zero-days dan de meeste menselijke teams in een jaar vinden. Het knelpunt is beslist verschoven van vinden naar repareren.

Claude Opus 4.8 vindt een vier jaar oude namaakfout in privacy-cryptomunt Zcash

Op 29 mei 2026 ontdekte de onafhankelijke beveiligingsonderzoeker Taylor Hornby een kritieke "soundness"-fout in de Orchard shielded pool van Zcash. Hij deed dit in opdracht van Shielded Labs . De ontdekking werd gedaan slechts één dag nadat Anthropic op 28 mei zijn Claude Opus 4.8-model had uitgebracht .

Hornby bouwde een eigen "Zcash Full-Stack Auditor"-raamwerk bovenop Opus 4.8. Dit systeem redeneerde door de zero-knowledge circuitbeperkingen van de Orchard-pool en stuitte op een ontbrekende of onvolledige controle in de rekenlogica van de elliptische kromme. Met deze fout konden valse transactiegegevens de verificatie omzeilen alsof ze geldig waren . Hornby schreef vervolgens een werkende exploit die in een testomgeving valse ZEC-munten creëerde .

De impact was zeer ernstig: de bug had kunnen worden uitgebuit om ongemerkt een onbeperkt aantal valse ZEC-munten te creëren, wat het vaste aanbodplafond van 21 miljoen munten zou breken . De fout was aanwezig sinds de activering van Orchard in mei 2022 – een onopgemerkt venster van vier jaar .

Noodrespons en technische ingreep

Zcash-ontwikkelaars en het Zcash Open Development Lab (ZODL) reageerden razendsnel :

• 29 mei 2026: Hornby ontdekt de bug en meldt deze onmiddellijk .
• 29 mei – 1 juni: De bug wordt gepatcht via een gecoördineerde noodupdate .
• 2 juni: Een nood-soft fork (bij blok 3.363.426) schakelt Orchard-transacties uit om mogelijke exploitatie te voorkomen .
• 3 juni: De NU6.2 hard fork heractiveert Orchard met het gepatchte circuit. Block explorers waren kort offline en miners meldden tijdelijke netwerkinstabiliteit .

De Zcash Foundation verklaarde dat er geen bewijs is dat de bug ooit in de praktijk is uitgebuit . Echter, vanwege de privacy-eigenschappen van de shielded pool is er geen cryptografische manier om te bewijzen of er ooit valse munten zijn gemaakt . Deze fundamentele oncontroleerbaarheid werd een centrale zorg voor de markt.

ZEC koerscrash en marktimpact

Voordat de bug publiekelijk bekend werd, handelde ZEC boven de $600 . Toen het nieuws op 5 juni naar buiten kwam, stortte de waarde van de munt in :

• CoinMarketCap rapporteerde een daling van ~31% .
• KuCoin signaleerde een daling van meer dan 40% .
• Bankless Times en BitMEX rapporteerden een crash van ongeveer 50% van piek tot dal, waarbij ZEC van $624 op 4 juni naar $309 op 5 juni kelderde .

De crash werd versterkt door een vertrouwensbreuk in de 21-miljoen-limiet van Zcash en de gedwongen verkoop van overvolle longposities . De bekende handelaar Arthur Hayes maakte ook publiekelijk zijn vertrek uit zijn positie bekend, wat extra verkoopdruk gaf .

Het grotere plaatje: AI-vondsten overtreffen de menselijke schadebeperking

Deze twee incidenten in dezelfde week zijn geen uitschieters. Ze vormen de nieuwe basis voor een systeemverschuiving in cybersecurity.

Snelheids- en kostenasymmetrie: DepthFirst's agent vond 21 bugs voor ~$21.000 ; Hornby vond een catastrofale cryptografische fout op de dag dat een nieuw model uitkwam . Menselijke teams hadden beide jarenlang over het hoofd gezien. De economie is nu sterk in het voordeel van aanvallers, die vergelijkbare autonome agenten tegen verwaarloosbare marginale kosten kunnen draaien om kwetsbaarheden te vinden en te bewapenen.

Volume-overload voor beheerders: In dezelfde week patchte Google een recordaantal van 429 bugs in Chrome 149 . Maar opensourceprojecten als FFmpeg en Debian laten nu al "uitgestelde" patch-statussen zien voor AI-gevonden CVE's . De ontdekkingspijplijn stroomt sneller dan vrijwillige beheerders aankunnen.

Een patroon, geen ongeluk: Dit volgt op een incident in mei 2026 waarbij DepthFirst's autonome AI in slechts zes uur een 18 jaar oude heap-overflow in NGINX (CVE-2026-42945, CVSS 9.2) vond . De technologie vindt consequent oeroude, kritieke bugs die elke eerdere audit hebben overleefd.

De onopgeloste vraag: Of de Zcash Orchard-bug ooit in het geheim is uitgebuit, blijft fundamenteel onverifieerbaar . Die onzekerheid alleen al heeft het marktvertrouwen beschadigd en stelt een prangende vraag voor alle privacy-gerichte blockchains: kan een door AI ontdekte geluidsfout in een shielded pool ooit echt worden opgeruimd als niemand kan bewijzen dat hij niet is gebruikt?