ИИ находит баги, которые люди пропускали десятилетиями: взлом FFmpeg и Zcash

Некоторые из багов оставались незамеченными на протяжении 15–20 лет, пережив даже интенсивные аудиты безопасности от таких гигантов, как Google и Anthropic . Уязвимости представляли собой в основном переполнения кучи и стека в таких компонентах, как демультиплексор TS и декодер VP9 . Компания также разработала PoC, демонстрирующий возможность удаленного выполнения кода (RCE) .

Это была не первая находка Depthfirst в FFmpeg. Ранее, в мае, компания сообщила об обнаружении 12 багов, связанных с повреждением памяти, некоторые из которых восходили к коду 2009 года, и выделила до 5 миллионов долларов в виде кредитов, чтобы помочь опенсорсным проектам исправлять найденные ИИ уязвимости . Несмотря на эти усилия, процесс исправления явно перегружен. По состоянию на конец мая 2026 года многие CVE для FFmpeg, включая CVE-2026-6385 и CVE-2025-22921, все еще числились в Debian как неисправленные или «отложенные» .

Ключевой вывод: Автономный агент, работа которого в общей сложности обошлась примерно в $21 000, нашел в одной библиотеке больше уязвимостей нулевого дня, чем большинство команд людей находят за год. Узкое место решительно сместилось с обнаружения на исправление.

Claude Opus 4.8 находит 4-летний баг подделки монет в Zcash

29 мая 2026 года независимый исследователь безопасности Тейлор Хорнби, проводивший аудит протокола Zcash для компании Shielded Labs, обнаружил критическую уязвимость «надежности» (soundness) в защищенном пуле Zcash под названием Orchard . Он нашел ее всего через день после того, как компания Anthropic выпустила свою модель Claude Opus 4.8 28 мая .

Хорнби построил собственную систему «Zcash Full-Stack Auditor» на базе Opus 4.8. Эта система анализировала ограничения схемы доказательств с нулевым разглашением в пуле Orchard и выявила отсутствующую или неполную проверку в логике умножения на эллиптической кривой — уязвимость, которая позволяла поддельным доказательствам успешно проходить валидацию . Затем Хорнби написал работающий локальный эксплойт, который создавал поддельные ZEC в тестовой среде .

Последствия были серьезными: Ошибку можно было использовать для незаметного создания неограниченного количества поддельных токенов ZEC, что нарушало фиксированный лимит предложения Zcash в 21 миллион монет . Уязвимость существовала с момента активации Orchard в мае 2022 года — незамеченное четырехлетнее окно .

Экстренное техническое реагирование

Разработчики Zcash и Zcash Open Development Lab (ZODL) отреагировали оперативно :

• 29 мая 2026 г.: Хорнби обнаруживает баг и немедленно сообщает о нем .
• 29 мая – 1 июня: Баг исправляется с помощью скоординированного экстренного обновления .
• 2 июня: Экстренный софт-форк (на блоке 3,363,426) отключает транзакции Orchard, чтобы предотвратить любую потенциальную эксплуатацию .
• 3 июня: Хард-форк NU6.2 повторно активирует Orchard с исправленной схемой. Обозреватели блоков ненадолго отключались, а майнеры сообщали о временной нестабильности сети .

Zcash Foundation заявила, что нет никаких доказательств того, что эта уязвимость когда-либо использовалась в реальных условиях . Однако из-за свойств приватности защищенного пула не существует криптографического способа доказать, были ли когда-либо созданы поддельные монеты . Эта фундаментальная невозможность проверки стала центральным вопросом для рынка.

Обвал цены ZEC и влияние на рынок

До публичного раскрытия информации ZEC торговался на максимумах выше $600 . Как только информация об ошибке стала публичной 5 июня, стоимость токена резко упала :

• CoinMarketCap сообщил о падении примерно на 31% .
• KuCoin сообщил о снижении более чем на 40% .
• Bankless Times и BitMEX сообщили об обвале примерно на 50% от пика до минимума, когда ZEC упал с $624 4 июня до $309 5 июня .

Обвал был усилен подрывом доверия к 21-миллионному лимиту Zcash и сворачиванием перегруженных длинных позиций . Известный трейдер Артур Хейс также публично вышел из своей позиции, усилив давление продаж .

Общая картина: обнаружение с помощью ИИ опережает возможности человека по исправлению

Эти два инцидента, произошедшие на одной неделе, — не исключения. Это новый базовый уровень для системного сдвига в кибербезопасности.

Асимметрия скорости и стоимости: Агент Depthfirst нашел 21 ошибку примерно за $21 000 ; Хорнби нашел катастрофический криптографический изъян на следующий день после запуска новой модели . Человеческие команды годами пропускали и то, и другое. Экономика теперь решительно на стороне атакующих, которые могут запускать аналогичных автономных агентов с ничтожными предельными издержками для обнаружения и использования уязвимостей.

Перегрузка по объему для мейнтейнеров: На той же неделе Google исправил рекордные 429 ошибок в Chrome 149 . Но опенсорсные проекты, такие как FFmpeg и Debian, уже показывают статус исправлений «отложено» для CVE, обнаруженных ИИ . Поток обнаружения хлещет быстрее, чем мейнтенеры-добровольцы могут с ним справиться.

Закономерность, а не случайность: Это следует за инцидентом в мае 2026 года, когда автономный ИИ от Depthfirst нашел 18-летнее переполнение кучи в NGINX (CVE-2026-42945, CVSS 9.2) всего за шесть часов . Технология стабильно находит древние, критические ошибки, пережившие все предыдущие аудиты.

Нерешенный вопрос: Был ли баг в Orchard Zcash когда-либо тайно использован, остается принципиально непроверяемым . Одна эта неопределенность подорвала доверие рынка и ставит глубокий вопрос перед всеми блокчейнами, ориентированными на конфиденциальность: можно ли когда-либо полностью «очистить» ошибку надежности, обнаруженную ИИ в защищенном пуле, если никто не может доказать, что она не использовалась?