AI Agent Znajduje 21 Luk w FFmpeg. Potem Odkrywa Katastrofalny Błąd w Zcash. Ludzie Nie Nadążają.

Co więcej, kilka z tych luk przeleżało w kodzie przez 15 do 20 lat, pozostając niewykrytymi nawet podczas intensywnych audytów prowadzonych przez gigantów takich jak Google czy Anthropic . Odkryte podatności to głównie błędy przepełnienia bufora na stercie i stosie w komponentach takich jak demuxer TS czy dekoder VP9 . Firma opracowała również prototyp exploita umożliwiającego zdalne wykonanie kodu (RCE) .

To nie było pierwsze zderzenie Depthfirst z FFmpeg. Już w maju firma zgłosiła 12 luk w zarządzaniu pamięcią w tej samej bibliotece, z których część pochodziła z kodu napisanego w 2009 roku . Starając się pomóc, Depthfirst przeznaczyło do 5 milionów dolarów w kredytach na wsparcie projektów open-source w łataniu luk znajdowanych przez AI . Mimo to, system łatania jest wyraźnie przeciążony – jeszcze pod koniec maja 2026 roku Debian oznaczał wiele zgłoszeń CVE dla FFmpeg jako „niezałatane” lub „odroczone” .

Kluczowy wniosek: Autonomiczny agent za łączną kwotę około 21 000 dolarów znalazł więcej luk zero-day w jednej bibliotece, niż większość ludzkich zespołów znajduje w ciągu roku. Wąskie gardło przeniosło się definitywnie z odkrywania luk na ich łatanie.

Tajemniczy błąd w Zcash – fałszywe monety znikąd

29 maja 2026 roku niezależny badacz bezpieczeństwa, Taylor Hornby, audytując protokół Zcash na zlecenie Shielded Labs, natknął się na coś znacznie poważniejszego. Używając zbudowanego przez siebie narzędzia "Zcash Full-Stack Auditor", opartego na najnowszym modelu Claude Opus 4.8 od Anthropic (wydanym zaledwie dzień wcześniej, 28 maja), odkrył krytyczny błąd "poprawności" (soundness) w obwodzie kryptograficznym puli Orchard .

Narzędzie Hornby’ego przeanalizowało logiczne ograniczenia w dowodach zero-wiedzy (zero-knowledge proofs) i odnalazło brakujące lub niekompletne sprawdzenie w logice mnożenia na krzywych eliptycznych. Ta luka pozwalała na przepuszczanie sfałszowanych dowodów jako prawidłowych . W środowisku testowym Hornby napisał działający exploit, który wygenerował fałszywe tokeny ZEC z niczego .

Siła rażenia była porażająca: błąd mógł zostać wykorzystany do niewykrywalnego stworzenia nieograniczonej liczby fałszywych monet ZEC, całkowicie łamiąc sztywny limit podaży wynoszący 21 milionów . Co gorsza, luka istniała od momentu aktywacji puli Orchard w maju 2022 roku – przez cztery lata pozostawała niezauważona .

Awaryjny hard fork i wyścig z czasem

Deweloperzy Zcash i Zcash Open Development Lab (ZODL) zareagowali błyskawicznie :

• 29 maja 2026: Hornby odkrywa błąd i natychmiast go zgłasza .
• 29 maja – 1 czerwca: Luka zostaje załatana w ramach skoordynowanej, awaryjnej aktualizacji .
• 2 czerwca: Awaryjny soft fork na bloku nr 3 363 426 tymczasowo wyłącza wszystkie transakcje w puli Orchard, aby zapobiec potencjalnemu wykorzystaniu luki .
• 3 czerwca: Hard fork o nazwie NU6.2 przywraca działanie puli Orchard z poprawionym obwodem kryptograficznym. Przez pewien czas eksploratory bloków były niedostępne, a górnicy zgłaszali chwilową niestabilność sieci .

Fundacja Zcash oświadczyła, że nie ma żadnych dowodów na to, by ktokolwiek wykorzystał tę lukę w rzeczywistej sieci . Jednak z powodu prywatności puli Orchard nie istnieje żaden kryptograficzny sposób, by udowodnić, że fałszywe monety nigdy nie zostały wybite . Ta fundamentalna niemożliwość weryfikacji stała się głównym źródłem kryzysu zaufania na rynku.

Krach ZEC i utrata zaufania

Przed publicznym ujawnieniem informacji, kurs ZEC przekraczał 600 dolarów . Gdy tylko informacja o podatności stała się publiczna (5 czerwca), wartość tokena runęła :

• CoinMarketCap odnotował spadek o ~31% .
• KuCoin oszacował spadek na ponad 40% .
• Bankless Times i BitMEX mówiły o krachu rzędu 50% od szczytu do dna, gdy cena ZEC spadła z 624 dolarów 4 czerwca do 309 dolarów 5 czerwca .

Krach pogłębiła utrata wiary w nieprzekraczalny limit 21 milionów ZEC oraz masowe zamykanie przeważonych długich pozycji . Znany inwestor Arthur Hayes również publicznie ogłosił wyjście ze swojej pozycji, co dodatkowo zwiększyło presję sprzedażową .

Nowa (nie)rzeczywistość: AI odkrywa, człowiek nie nadąża

Oba te przypadki, które wydarzyły się niemal równocześnie, nie są anomaliami. To nowy punkt odniesienia dla systemowej zmiany w cyberbezpieczeństwie.

• Asymetria kosztów i czasu: Agent Depthfirst znalazł 21 błędów za ~21 000 dolarów , a badacz Hornby odkrył katastrofalną lukę dzień po premierze nowego modelu AI . Ludzkie zespoły przeoczały te błędy przez lata. Ekonomia stoi teraz po stronie atakujących, którzy mogą uruchamiać podobne autonomiczne agenty przy znikomym koszcie krańcowym, by znajdować i uzbrajać luki.

• Przeciążenie opiekunów kodu: W tym samym tygodniu Google załatało rekordowe 429 błędów w Chrome 149 . Jednak projekty open-source, takie jak FFmpeg, już teraz wykazują, że nie nadążają – statusy wielu krytycznych CVE to "odroczone" . Strumień odkryć jest tak intensywny, że społeczność wolontariuszy nie daje rady go przerobić.

• Wzorzec, nie przypadek: Te wydarzenia wpisują się w serię podobnych doniesień. W maju 2026 r. autonomiczna AI Depthfirst znalazła w zaledwie sześć godzin 18-letni błąd przepełnienia sterty w serwerze NGINX (CVE-2026-42945, krytyczność 9.2 w skali CVSS) . Technologia konsekwentnie odkrywa pradawne, krytyczne błędy, które przeżyły każdy poprzedni audyt.

• Pytanie bez odpowiedzi: Czy błąd w puli Orchard został kiedykolwiek potajemnie wykorzystany? To pytanie pozostanie bez odpowiedzi, bo z natury rzeczy jest niemożliwe do zweryfikowania . Sama ta niepewność podkopała zaufanie do rynku i stawia fundamentalne pytanie przed wszystkimi blockchainami skoncentrowanymi na prywatności: czy konsekwencje błędu poprawności w anonimowej puli, odkrytego przez AI, kiedykolwiek mogą zostać w pełni usunięte, skoro nikt nie jest w stanie udowodnić, że nie doszło do nadużyć?