AI Revolusjonerer Cybersikkerhet: FFmpeg og Zcash Sårbarheter Avslørt på Rekordtid

Agenten skannet rundt 1,5 millioner linjer med C-kode og produserte konkrete, reproduserbare «proof-of-concept»-utnyttelser til en estimert kostnad på kun 1 000 dollar per funn . Dette er en brøkdel av prisen for en tradisjonell, manuell revisjon. Flere av feilene hadde ligget urørt i kodebasen i 15 til 20 år, og de overlevde altså til og med intensive sikkerhetsgjennomganger fra giganter som Google og Anthropic . Sårbarhetene var primært bufferoverflyt-feil (heap og stack) i komponenter som TS-demulitplekseren og VP9-dekoderen . Selskapet utviklet også en utnyttelse som viste muligheten for ekstern kodekjøring .

Dette var for øvrig ikke første gang. Tidligere i mai rapporterte Depthfirst om 12 minnekorrupsjonsfeil i FFmpeg, noen fra kode skrevet helt tilbake i 2009, og forpliktet seg til å stille opp mot 5 millioner dollar i kreditter for å hjelpe åpen kildekode-prosjekter med å fikse AI-oppdagede feil . Til tross for dette er utbedringskøen tydelig sprengt. I slutten av mai 2026 var mange av FFmpegs CVE-er, inkludert CVE-2026-6385 og CVE-2025-22921, fortsatt listet av Debian som ufikset eller «utsatt» .

Hovedpoenget er krystallklart: En autonom agent til en totalkostnad på rundt 21 000 dollar fant flere null-dager i ett enkelt bibliotek enn de fleste menneskelige team finner i løpet av et år. Flaskehalsen har flyttet seg fra oppdagelse til utbedring.

Claude Opus 4.8 Fant en Fire År Gammel Forfalskningsfeil i Zcash

Den 29. mai 2026 gjorde den uavhengige sikkerhetsforskeren Taylor Hornby et oppsiktsvekkende funn. Mens han reviderte Zcash-protokollen for Shielded Labs, oppdaget han en kritisk «soundness»-sårbarhet i Zcashs Orchard-shielded pool – en avansert personvernmekanisme . Det bemerkelsesverdige? Han fant feilen bare én dag etter at Anthropic lanserte sin nye modell, Claude Opus 4.8, den 28. mai .

Hornby hadde bygget et skreddersydd rammeverk han kalte «Zcash Full-Stack Auditor» på toppen av Opus 4.8. Dette systemet resonnerte seg gjennom de matematiske begrensningene i nullkunnskapsbevis-kretsen til Orchard og oppdaget en manglende eller ufullstendig kontroll i logikken for elliptisk kurve-multiplikasjon . Enkelt forklart: en fundamental matematisk regel som skulle sikre at transaksjoner var gyldige, var ikke på plass. Dette gjorde det mulig å smi falske bevis som systemet likevel godkjente. Hornby skrev deretter en fungerende, lokal utnyttelse som preget falske ZEC-mynter i et testmiljø .

Et Potensielt Katastrofalt Utfall

Konsekvensene kunne vært fatale: Feilen kunne utnyttes til å skape et ubegrenset antall falske ZEC-tokens uten å legge igjen spor, noe som ville brutt Zcashs fastsatte maksbeholdning på 21 millioner mynter . Svakheten hadde eksistert siden Orchard ble aktivert i mai 2022 – et uoppdaget vindu på fire år .

Nødrespons og Teknisk Utbedring

Zcash-utviklerne og Zcash Open Development Lab (ZODL) reagerte umiddelbart :

• 29. mai 2026: Hornby oppdager feilen og varsler teamet umiddelbart .
• 29. mai – 1. juni: Feilen tettes via en koordinert nødoppdatering .
• 2. juni: En nød-soft fork (ved blokk 3 363 426) deaktiverer Orchard-transaksjoner for å hindre enhver potensiell utnyttelse .
• 3. juni: En hard fork kalt NU6.2 reaktiverer Orchard med den korrigerte kretsen. Blokkjedelesere var midlertidig nede, og minere rapporterte om kortvarig ustabilitet i nettverket .

Zcash Foundation uttalte at det ikke er noe bevis for at feilen ble utnyttet i det virkelige nettverket . Men her oppstår et ubehagelig paradoks: På grunn av personvernegenskapene til Orchard-poolen, finnes det ingen kryptografisk metode for å bevise om falske mynter noen gang ble preget . Denne grunnleggende uverifiserbarheten ble en stor hodepine for markedet.

ZEC-priskrakk og Markedseffekt

Før den offentlige kunngjøringen handlet ZEC for over 600 dollar . Da nyheten om feilen ble kjent 5. juni, raste verdien :

• CoinMarketCap rapporterte et fall på ~31 % .
• KuCoin meldte om en nedgang på over 40 % .
• Bankless Times og BitMEX anslo et krakk på rundt 50 % fra topp til bunn, der ZEC falt fra 624 dollar den 4. juni til 309 dollar den 5. juni .

Krakket ble forsterket av en svekket tillit til Zcashs fastsatte maksbeholdning på 21 millioner mynter, samtidig som mange investorer lukket sine overfylte posisjoner med forventning om prisoppgang . Den profilerte traderen Arthur Hayes solgte seg også ut, noe som økte salgspresset ytterligere .

Det Store Bildet: AI-Drevet Oppdagelse Løper fra Mennesker

Disse to hendelsene, som inntraff i samme uke, er ikke enkeltstående avvik. De er den nye normalen i et systemskifte for cybersikkerhet.

Asymmetri i hastighet og kostnad: Depthfirsts agent fant 21 feil for ~21 000 dollar ; Hornby fant en katastrofal kryptofeil dagen etter en ny modell ble lansert . Menneskelige team hadde oversett begge i årevis. Økonomien favoriserer nå angriperne, som kan kjøre lignende autonome agenter til en neglisjerbar marginalkostnad for å oppdage og våpenliggjøre sårbarheter.

Overbelastning for vedlikeholdere: Samme uke tettet Google rekordhøye 429 feil i Chrome 149 . Men åpen kildekode-prosjekter som FFmpeg og Debian har allerede begynt å merke AI-funn som «utsatt» . Oppdagelsesrøret fosser raskere enn frivillige vedlikeholdere kan håndtere.

Et mønster, ikke en tilfeldighet: Dette følger en hendelse i mai 2026 der Depthfirsts autonome AI fant en 18 år gammel bufferoverflyt i NGINX (CVE-2026-42945, CVSS 9.2) på bare seks timer . Teknologien finner konsistent eldgamle, kritiske feil som har overlevd enhver tidligere revisjon.

Det uavklarte spørsmålet: Om feilen i Zcashs Orchard noen gang i hemmelighet ble utnyttet, forblir fundamentalt uverifiserbart . Denne usikkerheten alene har skadet markedstilliten og reiser et dyptgående spørsmål for alle personvernfokuserte blokkjeder: Kan en AI-oppdaget matematisk feil i en skjermet pool noen gang ryddes fullt opp hvis ingen kan bevise at den ikke ble brukt?