เมื่อ AI นักล่าอสูรไซเบอร์ เปิดโปงบั๊กร้ายแรง FFmpeg และ Zcash ที่มนุษย์มองข้ามมานานนับทศวรรษ

บั๊กหลายจุดซ่อนตัวอยู่ในโค้ดมานานถึง 15 ถึง 20 ปี ยาวนานกว่าการตรวจสอบความปลอดภัยอย่างเข้มข้นจากบริษัทยักษ์ใหญ่อย่าง Google และ Anthropic ช่องโหว่ส่วนใหญ่เป็นปัญหาหน่วยความจำล้น (heap และ stack buffer overflows) ในส่วนประกอบต่างๆ เช่น TS demuxer และ VP9 decoder นอกจากนี้ บริษัทยังได้พัฒนาตัวอย่างการโจมตีที่แสดงให้เห็นถึงความเป็นไปได้ในการรันโค้ดจากระยะไกล (RCE)

นี่ไม่ใช่ครั้งแรกที่ Depthfirst ค้นพบช่องโหว่ใน FFmpeg ก่อนหน้านี้ในเดือนพฤษภาคม บริษัทรายงานว่าพบบั๊กหน่วยความจำเสียหาย 12 จุดในไลบรารีเดียวกัน ซึ่งบางจุดมีที่มาจากโค้ดที่เขียนขึ้นในปี 2009 และได้มอบเครดิตมูลค่าสูงถึง 5 ล้านดอลลาร์เพื่อช่วยโครงการโอเพนซอร์สแก้ไขข้อบกพร่องที่ AI ค้นพบ แม้จะมีความพยายามเหล่านี้ แต่กระบวนการแก้ไขก็ยังตึงตัวอย่างเห็นได้ชัด ณ ปลายเดือนพฤษภาคม 2026 CVE ของ FFmpeg หลายรายการ รวมถึง CVE-2026-6385 และ CVE-2025-22921 ยังคงถูกขึ้นสถานะโดย Debian ว่ายังไม่ได้รับการแก้ไข หรือ "ถูกเลื่อนออกไป"

นัยสำคัญ: เอเจนต์อัตโนมัติที่ทำงานด้วยต้นทุนรวมประมาณ 21,000 ดอลลาร์ ค้นพบ Zero-Day ในไลบรารีเดียวได้มากกว่าที่ทีมมนุษย์ส่วนใหญ่พบในหนึ่งปี คอขวดได้เปลี่ยนจากการ ค้นหา ไปสู่การ แก้ไข อย่างเด็ดขาด

Claude Opus 4.8 พบบั๊กปลอมแปลงเหรียญอายุ 4 ปีใน Zcash

ในวันที่ 29 พฤษภาคม 2026 Taylor Hornby นักวิจัยด้านความปลอดภัยอิสระที่กำลังตรวจสอบโปรโตคอล Zcash ให้กับ Shielded Labs ได้ค้นพบช่องโหว่ "ความไม่สมบูรณ์ (soundness)" ขั้นวิกฤตใน Orchard Shielded Pool ของ Zcash เขาค้นพบบั๊กนี้เพียง หนึ่งวันหลังจากที่ Anthropic เปิดตัวโมเดล Claude Opus 4.8 ในวันที่ 28 พฤษภาคม

Hornby ได้สร้างเฟรมเวิร์ก "Zcash Full-Stack Auditor" แบบกำหนดเองขึ้นมาบน Opus 4.8 ระบบนี้ใช้เหตุผลวิเคราะห์ข้อจำกัดของวงจร Zero-Knowledge Proof ของ Orchard และพบจุดตรวจสอบที่ขาดหายไปหรือไม่สมบูรณ์ในตรรกะการคูณเส้นโค้งวงรี (Elliptic Curve) ซึ่งเป็นข้อบกพร่องที่ทำให้ Proof ปลอมแปลงสามารถผ่านการตรวจสอบได้ จากนั้น Hornby ได้เขียนโค้ดเอ็กซ์พลอยต์ที่ทำงานได้จริงในสภาพแวดล้อมทดสอบ ซึ่งสามารถผลิตเหรียญ ZEC ปลอมได้

ผลกระทบนั้นรุนแรง: บั๊กนี้สามารถถูกใช้เพื่อ สร้างเหรียญ ZEC ปลอมในปริมาณไม่จำกัดโดยไร้ร่องรอย ซึ่งจะทำลายขีดจำกัดอุปทานสูงสุด 21 ล้านเหรียญของ Zcash อย่างสิ้นเชิง ข้อบกพร่องนี้มีอยู่ตั้งแต่การเปิดใช้งาน Orchard ในเดือนพฤษภาคม 2022 รวมเป็นเวลาที่ยังไม่มีใครตรวจพบนานถึง 4 ปี

การตอบสนองทางเทคนิคฉุกเฉิน

ผู้พัฒนา Zcash และ Zcash Open Development Lab (ZODL) ตอบสนองอย่างรวดเร็ว :

• 29 พฤษภาคม 2026: Hornby ค้นพบบั๊กและแจ้งข้อมูลทันที
• 29 พฤษภาคม – 1 มิถุนายน: บั๊กได้รับการแก้ไขผ่านการอัปเดตฉุกเฉินที่มีการประสานงาน
• 2 มิถุนายน: ซอฟต์ฟอร์กฉุกเฉิน (ที่บล็อก 3,363,426) สั่งระงับธุรกรรม Orchard เพื่อป้องกันการเอ็กซ์พลอยต์ที่อาจเกิดขึ้น
• 3 มิถุนายน: ฮาร์ดฟอร์ก NU6.2 เปิดใช้งาน Orchard อีกครั้งด้วยวงจรที่แก้ไขแล้ว บล็อกเอ็กซ์พลอเรอร์หยุดทำงานชั่วคราว และนักขุดรายงานความไม่เสถียรของเครือข่ายเป็นช่วงสั้นๆ

มูลนิธิ Zcash ระบุว่าไม่มีหลักฐานว่าบั๊กนี้ถูกใช้ในโลกจริง อย่างไรก็ตาม ด้วยคุณสมบัติความเป็นส่วนตัวของ Shielded Pool จึง ไม่มีวิธีทางคริปโตกราฟี ที่จะพิสูจน์ได้ว่าเคยมีการสร้างเหรียญปลอมขึ้นหรือไม่ ความไม่สามารถตรวจสอบได้ในขั้นพื้นฐานนี้กลายเป็นข้อกังวลหลักของตลาด

ราคา ZEC ร่วงระนาวและผลกระทบต่อตลาด

ก่อนการเปิดเผยต่อสาธารณะ ZEC ซื้อขายกันที่จุดสูงสุดเกิน 600 ดอลลาร์ เมื่อบั๊กถูกเปิดเผยสู่สาธารณะในวันที่ 5 มิถุนายน มูลค่าของเหรียญก็ดิ่งลงอย่างหนัก

• CoinMarketCap รายงานการลดลง ~31%
• KuCoin รายงานการลดลง กว่า 40%
• Bankless Times และ BitMEX รายงานการลดลงประมาณ 50% จากจุดสูงสุดไปยังจุดต่ำสุด โดย ZEC ตกลงจาก 624 ดอลลาร์ในวันที่ 4 มิถุนายน ไปอยู่ที่ 309 ดอลลาร์ในวันที่ 5 มิถุนายน

การพังทลายของราคายิ่งทวีความรุนแรงขึ้นจากการสูญเสียความเชื่อมั่นในขีดจำกัดสูงสุด 21 ล้านเหรียญของ Zcash และการคลายพอร์ตสถานะ Long ที่แออัด อีกทั้งเทรดเดอร์ชื่อดังอย่าง Arthur Hayes ก็ประกาศออกจากสถานะของเขาอย่างเปิดเผย ซึ่งเพิ่มแรงกดดันด้านการขาย

ภาพใหญ่: การค้นหาด้วย AI แซงหน้าการแก้ไขของมนุษย์

สองเหตุการณ์นี้ที่เกิดขึ้นในสัปดาห์เดียวกันไม่ใช่เรื่องผิดปกติ แต่เป็นมาตรฐานใหม่สำหรับการเปลี่ยนแปลงเชิงระบบในโลกความปลอดภัยไซเบอร์

ความไม่สมมาตรด้านความเร็วและต้นทุน: เอเจนต์ของ Depthfirst พบบั๊ก 21 จุดด้วยเงินเพียง ~21,000 ดอลลาร์ ; Hornby พบบั๊กคริปโตที่ร้ายแรงในวันถัดจากที่โมเดลใหม่เปิดตัว ซึ่งทีมมนุษย์มองข้ามมาหลายปี ตอนนี้โครงสร้างทางเศรษฐกิจเอื้อประโยชน์ต่อผู้โจมตีอย่างมาก เพราะพวกเขาสามารถใช้เอเจนต์อัตโนมัติที่คล้ายคลึงกันด้วยต้นทุนที่ต่ำมากเพื่อค้นหาและนำช่องโหว่มาใช้เป็นอาวุธ

ปริมาณงานล้นมือผู้ดูแลระบบ: ในสัปดาห์เดียวกัน Google ได้แพตช์บั๊กมากถึง 429 จุดใน Chrome 149 ซึ่งเป็นสถิติสูงสุด แต่โครงการโอเพนซอร์สอย่าง FFmpeg และ Debian เริ่มแสดงสถานะการแก้ไขที่ "ถูกเลื่อนออกไป" สำหรับ CVE ที่ถูก AI ค้นพบ กระบวนการค้นพบกำลังหลั่งไหลมาเร็วกว่าที่ผู้ดูแลระบบอาสาสมัครจะรับมือไหว

รูปแบบ ไม่ใช่อุบัติเหตุ: เหตุการณ์นี้เกิดขึ้นหลังจากที่ในเดือนพฤษภาคม 2026 เอเจนต์ AI อัตโนมัติของ Depthfirst ค้นพบ ช่องโหว่ heap overflow อายุ 18 ปีใน NGINX (CVE-2026-42945, CVSS 9.2) ได้ภายในเวลาเพียง 6 ชั่วโมง เทคโนโลยีนี้กำลังค้นพบบั๊กโบราณและวิกฤตซึ่งรอดพ้นจากการตรวจสอบทุกครั้งที่ผ่านมา อย่างต่อเนื่อง

คำถามที่ไร้คำตอบ: ไม่มีทางพิสูจน์เป็นที่แน่ชัดว่าเคยมีการใช้บั๊กใน Zcash Orchard แบบลับๆ มาก่อนหรือไม่ ความไม่แน่นอนนั้นเพียงอย่างเดียวก็ได้ทำลายความเชื่อมั่นของตลาด และก่อให้เกิดคำถามที่ลึกซึ้งสำหรับบล็อกเชนที่เน้นความเป็นส่วนตัวทั้งหมด: บั๊ก "ความไม่สมบูรณ์" ใน Shielded Pool ที่ AI ค้นพบนั้นสามารถถูกชำระล้างให้หมดจดได้หรือไม่ หากไม่มีใครสามารถพิสูจน์ได้ว่ามันไม่เคยถูกใช้?