AI hittade buggar som människor missat i decennier: Hela historien om FFmpeg- och Zcash-upptäckterna

Flera av buggarna hade legat och pyrt i 15 till 20 år, och hade alltså undgått även intensiva säkerhetsrevisioner från jättar som Google och Anthropic . Sårbarheterna var främst heap- och stack-baserade buffertspill i komponenter som TS-demuxern och VP9-dekodern . Företaget utvecklade också en PoC som visade en primitiv för fjärrkörning av kod, en så kallad Remote Code Execution (RCE) .

Det här var inte Depthfirsts första upptäckt i FFmpeg. Tidigare i maj rapporterade företaget att de hittat 12 minneskorruptionsbuggar i biblioteket, varav en del härstammade från kod från 2009, och de åtog sig att bidra med upp till 5 miljoner dollar i krediter för att hjälpa projekt med öppen källkod att åtgärda AI-upptäckta brister . Trots dessa ansträngningar är kön för att åtgärda problemen uppenbart ansträngd. I slutet av maj 2026 listades många av FFmpegs CVE:er – däribland CVE-2026-6385 och CVE-2025-22921 – fortfarande som opatchade eller "uppskjutna" av Debian .

Den centrala slutsatsen: En autonom agent som arbetade för totalt ungefär 21 000 dollar hittade fler zero-days i ett enda bibliotek än vad de flesta mänskliga team hittar på ett år. Flaskhalsen har definitivt flyttats från upptäckt till patchning.

Claude Opus 4.8 hittade en fyra år gammal förfalskningsbugg i Zcash

Den 29 maj 2026 upptäckte den oberoende säkerhetsforskaren Taylor Hornby, som då granskade Zcash-protokollet för Shielded Labs, en kritisk "soundness"-sårbarhet i Zcash skyddade Orchard-pool . Han hittade felet bara en dag efter att Anthropic släppte sin Claude Opus 4.8-modell den 28 maj, och utnyttjade därmed tekniken i ett extremt tidigt skede .

Hornby byggde ett skräddarsytt ramverk kallat "Zcash Full-Stack Auditor" ovanpå Opus 4.8. Det här systemet resonerade sig igenom de nollkunskapsbevis-kretsar (zero-knowledge circuits) som utgör Orchard-poolen, och identifierade en saknad eller ofullständig kontroll i logiken för elliptisk kurvmultiplikation – ett fel som tillät förfalskade bevis att passera valideringen . Hornby skrev sedan en fungerande lokal exploit som "myntade" falska ZEC i en testmiljö .

Effekten var enorm: Felet kunde ha utnyttjats för att ospårbart skapa ett obegränsat antal falska ZEC-tokens, vilket därmed skulle ha spräckt Zcash fasta utbudstak på 21 miljoner mynt . Bristen hade existerat sedan Orchard-poolen aktiverades i maj 2022 – ett fyra år långt fönster där den förblev oupptäckt .

Akut teknisk respons

Zcash utvecklare och Zcash Open Development Lab (ZODL) agerade snabbt :

• 29 maj 2026: Hornby upptäcker buggen och rapporterar den omedelbart .
• 29 maj – 1 juni: Buggen patchas via en koordinerad nöduppdatering .
• 2 juni: En akut mjukgaffel (soft fork) vid block 3 363 426 inaktiverar Orchard-transaktioner för att förhindra allt potentiellt utnyttjande .
• 3 juni: En hård gaffel (hard fork) kallad NU6.2 återaktiverar Orchard med den patchade kretsen. Blockutforskare låg tillfälligt nere, och miners rapporterade kortvarig nätverksinstabilitet .

Zcash Foundation uppgav att det inte finns några bevis för att buggen någonsin utnyttjats i praktiken . Men på grund av den skyddade poolens integritetsegenskaper finns det inget kryptografiskt sätt att bevisa huruvida falska mynt någonsin skapades eller ej . Denna grundläggande overifierbarhet blev en central källa till oro för marknaden.

ZEC-kursras och marknadspåverkan

Innan det offentliga avslöjandet handlades ZEC för över 600 dollar . När buggen väl blev känd sjönk tokenets värde dramatiskt :

• CoinMarketCap rapporterade ett fall på cirka 31 procent .
• KuCoin rapporterade en nedgång på över 40 procent .
• Bankless Times och BitMEX rapporterade ett ras på ungefär 50 procent från topp till botten, där ZEC föll från 624 dollar den 4 juni till 309 dollar den 5 juni .

Kursfallet förstärktes av att förtroendet för Zcash utbudstak på 21 miljoner mynt urholkades, och av att överbelånade långa positioner avvecklades . Den framstående handlaren Arthur Hayes gick också offentligt ut med att han lämnade sin position, vilket ökade säljtrycket ytterligare .

Den större bilden: AI-drivna upptäckter springer ifrån mänsklig åtgärdskapacitet

Dessa två incidenter, som inträffade samma vecka, är inga avvikelser. De utgör den nya normalnivån för ett systemiskt skifte inom cybersäkerhet.

Asymmetri i hastighet och kostnad: Depthfirsts agent hittade 21 buggar för cirka 21 000 dollar ; Hornby hittade ett katastrofalt kryptofel dagen efter att en ny modell lanserats . Mänskliga team hade missat båda i åratal. De ekonomiska förutsättningarna gynnar nu starkt angripare, som kan köra liknande autonoma agenter till försumbara marginalkostnader för att upptäcka och vapenfieringsgöra sårbarheter.

Volymöverbelastning för underhållsansvariga: Samma vecka patchade Google rekordmånga 429 buggar i Chrome 149 . Men projekt med öppen källkod som FFmpeg och Debian visar redan tecken på att skjuta upp patchning av AI-upptäckta CVE:er . Upptäcktsfloden forsar fram snabbare än vad volontära underhållsansvariga kan hantera.

Ett mönster, inte en tillfällighet: Detta följer på en incident i maj 2026 där Depthfirsts autonoma AI hittade en 18 år gammal heap-overflow i NGINX (CVE-2026-42945, CVSS 9.2) på bara sex timmar . Tekniken hittar konsekvent urgamla, kritiska buggar som överlevt varje tidigare granskning.

Den obesvarade frågan: Huruvida Zcash Orchard-felet någonsin utnyttjats i hemlighet är och förblir fundamentalt omöjligt att verifiera . Den ovissheten i sig har skadat marknadens förtroende och väcker en djupgående fråga för alla integritetsfokuserade blockkedjor: kan ett AI-upptäckt soundness-fel i en skyddad pool någonsin städas upp helt om ingen kan bevisa att det inte användes?