AI 'vạch trần' những lỗ hổng ẩn mình suốt 20 năm: Cú sốc FFmpeg và Zcash rúng động làng an ninh mạng

Một số lỗi trong đó đã tồn tại từ 15 đến 20 năm, lâu hơn cả những đợt kiểm tra bảo mật chuyên sâu từ Google và Anthropic . Các lỗ hổng chủ yếu là lỗi tràn bộ đệm heap và stack trên các thành phần như bộ phân luồng TS và bộ giải mã VP9 . Công ty cũng đã phát triển một PoC cho thấy khả năng thực thi mã từ xa (RCE) .

Đây không phải là lần đầu tiên Depthfirst phát hiện lỗi trong FFmpeg. Hồi đầu tháng 5, công ty này đã báo cáo tìm thấy 12 lỗi hỏng bộ nhớ trong thư viện, một số có từ mã nguồn năm 2009, và cam kết chi tới 5 triệu USD tín dụng để giúp các dự án mã nguồn mở sửa các lỗi do AI phát hiện . Bất chấp những nỗ lực này, quy trình khắc phục rõ ràng đang bị quá tải. Tính đến cuối tháng 5 năm 2026, nhiều lỗ hổng FFmpeg đã được cấp mã CVE – bao gồm CVE-2026-6385 và CVE-2025-22921 – vẫn được Debian liệt kê là chưa được vá hoặc "tạm hoãn" .

Ngụ ý cốt lõi: Một tác nhân tự động hoạt động với tổng chi phí khoảng 21.000 USD đã tìm ra nhiều lỗ hổng zero-day trong một thư viện hơn hầu hết các nhóm con người tìm được trong một năm. Nút thắt cổ chai đã chuyển dịch rõ ràng từ khâu phát hiện sang khâu vá lỗi.

Claude Opus 4.8 tìm ra lỗi 'in tiền giả' 4 năm tuổi trong Zcash

Ngày 29 tháng 5 năm 2026, nhà nghiên cứu bảo mật độc lập Taylor Hornby, khi đang kiểm toán giao thức Zcash cho Shielded Labs, đã phát hiện ra một lỗ hổng "soundness" (tính đúng đắn) nghiêm trọng trong nhóm giao dịch ẩn danh Orchard của Zcash . Ông tìm ra nó chỉ một ngày sau khi Anthropic phát hành mô hình Claude Opus 4.8 vào ngày 28 tháng 5 .

Hornby đã xây dựng một khuôn khổ "Kiểm toán viên toàn diện Zcash" tùy chỉnh dựa trên Opus 4.8. Hệ thống này đã lập luận thông qua các ràng buộc mạch chứng minh không kiến thức (zero-knowledge proof) của nhóm Orchard và phát hiện ra một kiểm tra bị thiếu hoặc không hoàn chỉnh trong logic nhân đường cong elliptic – một lỗ hổng cho phép các bằng chứng giả mạo vượt qua xác thực . Hornby sau đó đã viết một mã khai thác cục bộ hoạt động để 'đúc' ZEC giả trong một môi trường thử nghiệm .

Tác động rất nghiêm trọng: Lỗi này có thể đã bị khai thác để tạo ra số lượng không giới hạn token ZEC giả một cách khó phát hiện, phá vỡ giới hạn nguồn cung cố định 21 triệu đồng của Zcash . Lỗ hổng đã tồn tại kể từ khi Orchard được kích hoạt vào tháng 5 năm 2022 – một khoảng thời gian bốn năm không bị phát hiện .

Phản ứng kỹ thuật khẩn cấp

Các nhà phát triển Zcash và Phòng thí nghiệm Phát triển Mở Zcash (ZODL) đã phản ứng nhanh chóng :

• 29/05/2026: Hornby phát hiện ra lỗi và ngay lập tức tiết lộ .
• 29/05 – 01/06: Lỗi được vá thông qua một bản cập nhật khẩn cấp có phối hợp .
• 02/06: Một soft fork khẩn cấp (tại khối 3.363.426) vô hiệu hóa các giao dịch Orchard để ngăn chặn mọi hành vi khai thác tiềm ẩn .
• 03/06: Hard fork NU6.2 kích hoạt lại Orchard với mạch đã được vá. Các trình khám phá khối (block explorer) tạm thời ngoại tuyến và các thợ đào báo cáo mạng lưới mất ổn định tạm thời .

Tổ chức Zcash Foundation tuyên bố không có bằng chứng nào cho thấy lỗi này từng bị khai thác trên thực tế . Tuy nhiên, do đặc tính bảo mật của nhóm ẩn danh Orchard, không có cách nào chứng minh bằng mật mã liệu các đồng tiền giả đã từng được tạo ra hay chưa . Sự không thể xác minh cơ bản này đã trở thành mối lo ngại trung tâm cho thị trường.

Giá ZEC lao dốc và tác động thị trường

Trước khi công bố công khai, ZEC được giao dịch ở mức cao trên 600 USD . Một khi lỗi được công khai vào ngày 5 tháng 6, giá trị của token này đã lao dốc không phanh :

• CoinMarketCap báo cáo mức giảm ~31% .
• KuCoin báo cáo mức giảm trên 40% .
• Bankless Times và BitMEX báo cáo mức giảm khoảng 50% từ đỉnh xuống đáy, với ZEC rơi từ 624 USD vào ngày 4/6 xuống còn 309 USD vào ngày 5/6 .

Cú sập này càng trầm trọng hơn do niềm tin vào giới hạn 21 triệu đồng của Zcash bị xói mòn và việc các vị thế mua dài hạn đông đúc bị tháo chạy . Nhà giao dịch nổi tiếng Arthur Hayes cũng công khai thoát khỏi vị thế của mình, gây thêm áp lực bán .

Bức tranh lớn: Phát hiện dựa trên AI đang vượt xa khả năng khắc phục của con người

Hai sự cố này, xảy ra trong cùng một tuần, không phải là những trường hợp ngoại lệ. Chúng là tiêu chuẩn mới cho một sự dịch chuyển mang tính hệ thống trong lĩnh vực an ninh mạng.

Sự bất cân xứng về tốc độ và chi phí: Tác nhân của Depthfirst tìm ra 21 lỗi với giá ~21.000 USD ; Hornby tìm ra một lỗ hổng tiền mã hóa thảm khốc một ngày sau khi mô hình mới ra mắt . Các nhóm con người đã bỏ lỡ cả hai trong nhiều năm. Nền kinh tế hiện tại đang nghiêng mạnh về phía những kẻ tấn công, những kẻ có thể chạy các tác nhân tự động tương tự với chi phí biên không đáng kể để khám phá và vũ khí hóa các lỗ hổng.

Quá tải khối lượng cho người bảo trì: Cùng tuần đó, Google đã vá một kỷ lục 429 lỗi trong Chrome 149 . Nhưng các dự án mã nguồn mở như FFmpeg và Debian đã cho thấy tình trạng vá lỗi bị "tạm hoãn" đối với các CVE do AI phát hiện . Đường ống khám phá đang tuôn trào nhanh hơn khả năng xử lý của các nhà bảo trì tình nguyện.

Một khuôn mẫu, không phải tai nạn: Điều này tiếp nối một sự cố vào tháng 5 năm 2026, khi AI tự động của Depthfirst tìm thấy một lỗi tràn heap 18 năm tuổi trong máy chủ web NGINX (CVE-2026-42945, điểm CVSS 9.2) chỉ trong sáu giờ . Công nghệ này đang liên tục tìm ra những lỗi nghiêm trọng, cổ xưa đã sống sót qua mọi cuộc kiểm tra trước đó.

Câu hỏi chưa có lời giải: Liệu lỗi Orchard của Zcash có từng bị bí mật khai thác hay không về cơ bản là không thể xác minh . Chỉ riêng sự không chắc chắn đó đã làm tổn hại đến niềm tin của thị trường và đặt ra một câu hỏi sâu sắc cho tất cả các blockchain tập trung vào quyền riêng tư: liệu một lỗi về tính đúng đắn trong nhóm giao dịch ẩn danh do AI phát hiện có bao giờ có thể được dọn dẹp hoàn toàn nếu không ai có thể chứng minh nó đã không bị lợi dụng?