İnsanların On Yıllardır Gözden Kaçırdığı Hataları Yapay Zeka Buldu: FFmpeg ve Zcash Keşiflerinin İç Yüzü

Bulunan hataların birçoğu 15 ila 20 yıldır fark edilmeden duruyordu; Google ve Anthropic gibi devlerin yoğun güvenlik denetimlerinden bile kaçmışlardı . Açıklar, öncelikle TS çözücü (demuxer) ve VP9 kod çözücü gibi bileşenlerdeki yığın (heap) ve yığıt (stack) tabanlı arabellek taşmalarıydı . Şirket ayrıca, uzaktan kod yürütme (RCE) yapabilen bir istismar ilkel örneği de geliştirdi .

Bu, Depthfirst'ün FFmpeg'deki ilk keşfi değildi. Mayıs ayı başlarında firma, kütüphanede 2009 yılına kadar uzanan kodlardan kaynaklanan 12 bellek bozulması hatası bulduğunu bildirmiş ve açık kaynak projelerin yapay zeka tarafından bulunan açıkları düzeltmesine yardımcı olmak için 5 milyon dolara kadar kredi taahhüdünde bulunmuştu . Bu çabalara rağmen, düzeltme süreci gözle görülür şekilde tıkanmış durumda. Mayıs 2026 sonu itibarıyla, CVE-2026-6385 ve CVE-2025-22921 gibi birçok FFmpeg CVE'si (Ortak Güvenlik Açıkları ve Etkilenmeler) Debian tarafından hala yamanmamış veya "ertelenmiş" olarak listeleniyordu .

Temel çıkarım: Toplamda yaklaşık 21.000 dolar maliyetle çalışan otonom bir ajan, tek bir kütüphanede çoğu insan ekibinin bir yılda bulduğundan daha fazla sıfırıncı gün açığı buldu. Darboğaz, belirleyici bir şekilde keşiften yamalamaya kaymış durumda.

Claude Opus 4.8, Zcash'te 4 Yıllık Kalpazanlık Açığını Buldu

29 Mayıs 2026'da, bağımsız güvenlik araştırmacısı Taylor Hornby, Shielded Labs için Zcash protokolünü denetlerken, Zcash'in Orchard korumalı havuzunda kritik bir "sağlamlık" (soundness) açığı keşfetti . Bu açığı, Anthropic'in Claude Opus 4.8 modelini 28 Mayıs'ta yayınlamasından sadece bir gün sonra buldu .

Hornby, Opus 4.8'in üzerine özel bir "Zcash Tam Yığın Denetçisi" (Zcash Full-Stack Auditor) çerçevesi inşa etti. Bu sistem, Orchard havuzunun sıfır bilgi kanıtı (zero-knowledge proof) devre kısıtlamaları üzerinde akıl yürüterek, eliptik eğri çarpım mantığında eksik veya tamamlanmamış bir kontrolü ortaya çıkardı — sahte kanıtların doğrulamadan geçmesine izin veren bir hata . Hornby daha sonra, test ortamında sahte ZEC (Zcash'in yerel kripto para birimi) üreten çalışan bir yerel istismar kodu yazdı .

Etkisi çok ağırdı: Hata, Zcash'in 21 milyonluk sabit arz sınırını kırarak, tespit edilemeyecek şekilde sınırsız sayıda sahte ZEC tokeni yaratmak için kullanılabilirdi . Açık, Orchard'ın Mayıs 2022'de etkinleştirilmesinden beri mevcuttu — tam dört yıllık fark edilmemiş bir süre .

Acil Teknik Müdahale

Zcash geliştiricileri ve Zcash Açık Geliştirme Laboratuvarı (ZODL) hızla yanıt verdi :

• 29 Mayıs 2026: Hornby hatayı keşfeder ve derhal bildirir .
• 29 Mayıs – 1 Haziran: Hata, koordineli bir acil durum güncellemesiyle yamanır .
• 2 Haziran: Bir acil durum yumuşak çatallanması (soft fork) (3,363,426 numaralı blokta), olası herhangi bir istismarı önlemek için Orchard işlemlerini devre dışı bırakır .
• 3 Haziran: NU6.2 sert çatallanması (hard fork), yamalı devre ile Orchard'ı yeniden etkinleştirir. Blok gezginleri kısa bir süreliğine çevrimdışı kalır ve madenciler geçici ağ istikrarsızlığı bildirir .

Zcash Vakfı, hatanın doğada (in the wild) herhangi bir şekilde istismar edildiğine dair hiçbir kanıt olmadığını belirtti . Ancak, korumalı havuzun gizlilik özellikleri nedeniyle, sahte coinlerin basılıp basılmadığını kriptografik olarak kanıtlamanın bir yolu yok . Bu temeldeki doğrulanamazlık, piyasa için merkezi bir endişe kaynağı haline geldi.

ZEC Fiyat Çöküşü ve Piyasa Etkisi

Kamuya açıklama yapılmadan önce ZEC, 600 doların üzerindeki zirvelerde işlem görüyordu . Hata 5 Haziran'da kamuoyuna duyurulduğunda, tokenin değeri hızla düştü :

• CoinMarketCap, yaklaşık %31'lik bir düşüş bildirdi .
• KuCoin, %40'ın üzerinde bir düşüş bildirdi .
• Bankless Times ve BitMEX ise zirveden dibe yaklaşık %50'lik bir çöküş bildirerek, ZEC'in 4 Haziran'da 624 dolardan 5 Haziran'da 309 dolara gerilediğini aktardı .

Çöküş, Zcash'in 21 milyonluk arz sınırına olan güvenin aşınması ve aşırı kalabalık uzun pozisyonların (long positions) çözülmesiyle daha da şiddetlendi . Tanınmış yatırımcı Arthur Hayes de pozisyonunu kamuoyu önünde kapattığını açıklayarak satış baskısını artırdı .

Büyük Resim: Yapay Zeka Odaklı Keşif, İnsan Kaynaklı İyileştirmeyi Geçiyor

Aynı haftaya denk gelen bu iki olay, birer aykırı değer değil. Bunlar, siber güvenlikte sistemik bir değişimin yeni temel çizgisi.

Hız ve maliyet asimetrisi: Depthfirst'ün ajanı ~21.000 dolara 21 hata buldu ; Hornby, yeni bir modelin piyasaya sürülmesinden bir gün sonra felaket düzeyinde bir kripto açığı keşfetti . İnsan ekipler her ikisini de yıllarca gözden kaçırmıştı. Ekonomik koşullar artık, açıkları keşfetmek ve silahlandırmak için benzer otonom ajanları ihmal edilebilir bir marjinal maliyetle çalıştırabilecek saldırganları güçlü bir şekilde destekliyor.

Geliştiriciler için hacim aşırı yüklemesi: Aynı hafta, Google Chrome 149'da rekor sayıda 429 hata yamaladı . Ancak FFmpeg ve Debian gibi açık kaynak projeleri, yapay zeka tarafından keşfedilen CVE'ler için şimdiden "ertelenmiş" yama durumu gösteriyor . Keşif boru hattı, gönüllü geliştiricilerin başa çıkabileceğinden daha hızlı akıyor.

Bir kaza değil, bir model: Bu olay, Mayıs 2026'da Depthfirst'ün otonom yapay zekasının sadece altı saat içinde NGINX'te 18 yıllık bir yığın taşması (heap overflow) (CVE-2026-42945, CVSS puanı 9.2) bulmasını takip ediyor . Bu teknoloji, daha önceki tüm denetimlerden sağ kurtulmuş kadim, kritik hataları sürekli olarak buluyor.

Çözülmemiş soru: Zcash Orchard hatasının keşfedilmeden önce gizlice istismar edilip edilmediği, temelde doğrulanamaz bir soru olarak kalıyor . Bu belirsizlik tek başına piyasa güvenine zarar verdi ve tüm gizlilik odaklı blok zincirleri için derin bir soruyu gündeme getiriyor: Korumalı bir havuzda yapay zeka tarafından keşfedilen bir sağlamlık hatası, hiç kimse kullanılmadığını kanıtlayamazsa, tamamen temizlenebilir mi?