ШІ знаходить те, що люди пропускали десятиліттями: 21 вразливість у FFmpeg та критичний баг у Zcash

Декілька з цих помилок ховалися в коді протягом 15-20 років, тобто з'явилися ще до інтенсивних перевірок безпеки з боку таких гігантів, як Google та Anthropic . В основному це були вразливості переповнення буфера в купі та стеку в таких компонентах, як TS-демультиплексор та декодер VP9 . Компанія також розробила PoC, що демонструє можливість віддаленого виконання коду (RCE) .

Це була не перша знахідка Depthfirst у FFmpeg. Раніше, в травні, компанія повідомила про виявлення 12 помилок пошкодження пам'яті в цій бібліотеці, деякі з яких походили з коду 2009 року, і зобов'язалася надати до $5 мільйонів у вигляді кредитів, щоб допомогти open-source проектам виправляти знайдені ШІ недоліки . Та попри ці зусилля, процес виправлення явно не витримує навантаження. Станом на кінець травня 2026 року багато вразливостей FFmpeg, включно з CVE-2026-6385 та CVE-2025-22921, все ще значилися в списках Debian як невиправлені або «відкладені» .

Ключовий висновок: Автономний агент, витративши загалом близько $21,000, знайшов більше вразливостей нульового дня в одній бібліотеці, ніж більшість команд людей знаходять за рік. Вузьке місце рішуче змістилося від пошуку до виправлення.

Claude Opus 4.8 знаходить 4-річну ваду для підробки монет у Zcash

29 травня 2026 року незалежний дослідник безпеки Тейлор Хорнбі, проводячи аудит протоколу Zcash для компанії Shielded Labs, виявив критичну вразливість «коректності» (soundness) в захищеному пулі Orchard криптовалюти Zcash . Він знайшов її лише через один день після того, як компанія Anthropic випустила свою модель Claude Opus 4.8 28 травня .

Хорнбі створив власний фреймворк «Zcash Full-Stack Auditor» на базі Opus 4.8. Ця система проаналізувала логіку обмежень криптографічних схем з нульовим розголошенням у пулі Orchard та виявила відсутню або неповну перевірку в логіці множення на еліптичній кривій. Ця вада дозволяла підробленим доказам проходити валідацію . Після цього Хорнбі написав робочий локальний експлойт, який створював фальшиві монети ZEC у тестовому середовищі .

Наслідки були б жахливими: Цю помилку можна було б використати для непомітного створення необмеженої кількості підроблених токенів ZEC, що зруйнувало б фіксований ліміт емісії в 21 мільйон монет . Вада існувала з моменту активації Orchard у травні 2022 року — непоміченою протягом чотирьох років .

Екстрене технічне реагування

Розробники Zcash та Zcash Open Development Lab (ZODL) відреагували блискавично :

• 29 травня 2026 року: Хорнбі виявляє помилку та негайно повідомляє про неї .
• 29 травня – 1 червня: Помилка виправляється через скоординоване екстрене оновлення .
• 2 червня: Екстрений софтфорк (на блоці 3,363,426) вимикає транзакції в Orchard, щоб запобігти будь-якій потенційній експлуатації .
• 3 червня: Хардфорк NU6.2 знову вмикає Orchard з виправленою схемою. Блок-експлорери ненадовго відключалися, а майнери повідомляли про тимчасову нестабільність мережі .

Zcash Foundation заявила, що немає жодних доказів того, що ця помилка колись була використана зловмисниками . Однак через властивості конфіденційності захищеного пулу, немає криптографічного способу довести, чи були коли-небудь викарбувані підроблені монети . Ця фундаментальна неможливість перевірки стала ключовою проблемою для ринку.

Крах ціни ZEC та вплив на ринок

До публічного розголошення ZEC торгувався на максимумах вище $600 . Як тільки інформація про помилку стала публічною 5 червня, вартість токена різко впала :

• CoinMarketCap повідомив про падіння на ~31% .
• KuCoin зафіксував зниження більш ніж на 40% .
• Bankless Times та BitMEX повідомили про падіння приблизно на 50% від піку до мінімуму: з $624 4 червня до $309 5 червня .

Падіння було підсилене підривом довіри до 21-мільйонного ліміту Zcash та ліквідацією переповнених довгих позицій . Відомий трейдер Артур Хейз також публічно вийшов зі своєї позиції, що додало тиску на продаж .

Більш широка картина: ШІ-пошук випереджає людські можливості для виправлення

Ці два інциденти, що сталися в один тиждень, не є випадковими збігами. Це нова реальність системного зсуву в кібербезпеці.

Асиметрія швидкості та вартості: Агент Depthfirst знайшов 21 помилку приблизно за $21,000 ; Хорнбі знайшов катастрофічну вразливість у криптографії на наступний день після виходу нової моделі . Людські команди роками не помічали цих вад. Економіка тепер однозначно на боці зловмисників, які можуть запускати подібних автономних агентів з мізерними граничними витратами для пошуку та використання вразливостей.

Перевантаження розробників обсягом даних: Того ж тижня Google виправив рекордні 429 помилок у Chrome 149 . Але open-source проекти, такі як FFmpeg та Debian, вже показують статус «відкладено» для вразливостей, знайдених ШІ . Потік знахідок зростає швидше, ніж волонтери-супроводжувачі можуть впоратися.

Це закономірність, а не випадковість: Цей випадок слідує за інцидентом у травні 2026 року, коли автономний ШІ від Depthfirst знайшов 18-річне переповнення купи в NGINX (CVE-2026-42945, оцінка небезпеки CVSS 9.2) всього за шість годин . Ця технологія постійно знаходить стародавні, критичні помилки, які пережили всі попередні аудити.

Невирішене питання: Чи була помилка в Zcash Orchard коли-небудь таємно використана, залишається принципово неперевіреним . Сама ця невизначеність підірвала довіру ринку та ставить глибоке питання перед усіма блокчейнами, орієнтованими на конфіденційність: чи можна колись повністю «прибрати» наслідки від помилки в захищеному пулі, знайденої ШІ, якщо ніхто не може довести, що її не використовували?