Vào tháng 5/2026, nhà nghiên cứu Taylor Hornby đã dùng Claude Opus 4.8 của Anthropic để phát hiện lỗi Zcash tồn tại từ 2022, có khả năng tạo ra tiền giả vô hạn và không thể bị phát hiện. Lỗ hổng này là một lỗi về tính đúng đắn trong mạch bằng chứng không kiến thức của bể giao dịch ẩn danh Orchard.

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
Ngày 28 tháng 5 năm 2026, Anthropic chính thức phát hành mô hình Claude Opus 4.8 ra công chúng. Chỉ trong vòng 24 giờ, nhà nghiên cứu bảo mật độc lập Taylor Hornby – được Shielded Labs ủy quyền kiểm toán giao thức Zcash – đã sử dụng chính mô hình này để tìm ra một lỗ hổng nghiêm trọng đã ẩn náu suốt bốn năm qua . Phát hiện này dẫn đến một bản vá khẩn cấp, công bố công khai, và một đợt bán tháo trên thị trường khiến giá trị đồng ZEC lao dốc khoảng 40–50%
. Đây là trường hợp đầu tiên được xác nhận công khai mà một mô hình ngôn ngữ lớn tiên phong tìm thấy lỗ hổng mã hóa nghiêm trọng trong một giao thức không kiến thức đang vận hành thực tế
.
Taylor Hornby không chỉ đơn giản yêu cầu Claude Opus 4.8 "tìm lỗi". Anh đã xây dựng một khung công cụ tùy chỉnh mang tên "Zcash Full-Stack Auditor" (tạm dịch: Trình kiểm toán toàn diện Zcash), khai thác khả năng suy luận của mô hình để lần theo một cách có hệ thống logic trong mạch bể giao dịch ẩn danh Orchard của Zcash . Đây là bể chứa sử dụng hệ thống bằng chứng không kiến thức Halo2 phức tạp để bảo mật các giao dịch riêng tư.
Vào ngày 29 tháng 5, khung công cụ này đã chỉ ra một điểm bất nhất về mặt logic mà các kiểm toán viên con người – qua nhiều đợt kiểm toán chính thức kể từ khi Orchard được kích hoạt vào tháng 5 năm 2022 – đã bỏ sót . Hornby không chỉ dừng lại ở việc ghi nhận một điểm yếu trên lý thuyết; anh đã dùng cách tiếp cận có trợ giúp từ AI này để viết một mã khai thác hoạt động, thực sự tạo ra đồng ZEC giả trong môi trường thử nghiệm cục bộ
. Tốc độ khám phá – chỉ trong một ngày kể từ khi mô hình được công bố – đánh dấu một bước nhảy vọt trong khả năng của nghiên cứu bảo mật có tăng cường AI
.
Cần phải nhấn mạnh rằng bước đột phá này là sự hợp tác giữa một chuyên gia con người lành nghề và một mô hình tiên tiến. AI cung cấp khả năng suy luận hệ thống và nhận diện mẫu trên một kho mã khổng lồ; nhà nghiên cứu là người định hình vấn đề, xây dựng công cụ kiểm toán, và xác thực các phát hiện .
Lỗ hổng là một lỗi nghiêm trọng về tính đúng đắn (soundness) trong mạch của bể giao dịch ẩn danh Orchard, cơ chế bảo mật chính cho các giao dịch riêng tư của Zcash . Trong một hệ thống bằng chứng không kiến thức, "tính đúng đắn" có nghĩa là về mặt tính toán, việc tạo ra một bằng chứng hợp lệ cho một khẳng định sai là bất khả thi. Mạch Orchard chứa một thành phần bị ràng buộc lỏng lẻo, phá vỡ nguyên tắc này.
Cụ thể, một giá trị nằm sâu trong thư viện Halo2 gadgets đã bị bỏ neo, không gắn với một điểm cơ sở thực sự, cho phép các đầu vào không hợp lệ về mặt toán học vượt qua được bước kiểm tra trên đường cong elliptic . Nói một cách đơn giản hơn, một bước kiểm tra được cho là để xác thực các đầu vào giao dịch đã không thực thi các quy tắc mà nó cần phải có
. Hậu quả là kẻ tấn công có thể giả mạo các bằng chứng không kiến thức hợp lệ, cho phép tạo ra lượng tiền ZEC giả không giới hạn trong bể giao dịch ẩn danh.
Bởi vì các giao dịch Orchard được thiết kế để bảo đảm tính riêng tư, đồng ZEC giả này sẽ không thể phân biệt với đồng thật trên chuỗi khối . Không có cách nào để kiểm tra blockchain và phát hiện nguồn cung giả. Lỗi này đã tồn tại từ khi Orchard ra đời vào tháng 5 năm 2022, có nghĩa là nó đã nằm im không bị phát hiện trong khoảng bốn năm
.
Một điểm mấu chốt là, do đặc tính bảo mật của Orchard và bản chất của lỗ hổng, Shielded Labs đã tuyên bố không có phương pháp mật mã nào để xác định liệu lỗ hổng này đã từng bị khai thác trên thực tế hay chưa . Sự không chắc chắn này đã trở thành nguồn cơn của những lo lắng sau khi thông tin được công bố.
Sau khi Hornby báo cáo lỗi cho Phòng thí nghiệm Phát triển Mở Zcash, phản ứng diễn ra cực kỳ nhanh chóng :
Wilcox xác nhận bản vá đã được triển khai thành công trước khi truyền thông đưa tin, đồng nghĩa với việc không có quỹ nào được biết là đã mất do bị khai thác sau khi công bố . Cách tiếp cận "vá trước, công bố sau" này là một quy trình quản lý lỗ hổng tiêu chuẩn, nhưng tốc độ cần có để thực hiện – từ khi phát hiện đến hard fork trên toàn mạng trong ba ngày – là điều phi thường.
Sau bản sửa lỗi khẩn cấp, Shielded Labs đã đề nghị Anthropic thực hiện một cuộc kiểm toán toàn bộ giao thức một cách riêng biệt bằng mô hình tiên phong bị hạn chế quyền truy cập của họ, Mythos. Cuộc đánh giá này xác nhận rằng không còn tồn tại lỗ hổng nghiêm trọng nào khác trong giao thức tính đến ngày 12 tháng 6 năm 2026 . Cuộc rà soát toàn diện này đã phần nào giúp khôi phục niềm tin, mặc dù sự không chắc chắn cốt lõi về khả năng bị khai thác trước khi vá vẫn còn đó.
Thị trường phản ứng một cách khắc nghiệt trước thông báo công khai vào ngày 4 tháng 6. Giá ZEC đã giảm khoảng 40–50% trong những ngày tiếp theo, với các báo cáo mô tả đồng coin này như một cú rơi tự do từ "mức giá cao hơn rất nhiều chỉ vài tuần trước đó" . Nhiều nguồn đề cập đến mức suy giảm từ 31% đến 50%, trong đó con số thường được nhắc tới nhất là xấp xỉ 40–50%
.
Đợt bán tháo phản ánh sự hoảng loạn trên nhiều mặt trận. Thứ nhất, mức độ nghiêm trọng của lỗi – khả năng làm giả tiền vô hạn và không thể bị phát hiện trong một đồng tiền ẩn danh hàng đầu – đã phá hoại niềm tin căn bản vào các đảm bảo an ninh của giao thức. Thứ hai, việc một mô hình AI tìm ra lỗ hổng mà nhiều năm kiểm toán thủ công chính thống đã bỏ sót làm dấy lên những câu hỏi đầy bất an về bề mặt lỗ hổng của các loại tiền mã hóa khác, bao gồm cả Ethereum . Thứ ba, sự bất an vĩnh viễn về việc liệu lỗ hổng này đã từng bị khai thác hay chưa để lại một khoảng trống lòng tin mà chỉ mỗi sửa chữa kỹ thuật là không đủ để lấp đầy
.
Các nhà giao dịch đã phải đánh giá lại mức độ an toàn của một trong những mạng lưới ẩn danh nổi bật nhất của crypto, và việc định giá lại đã diễn ra nhanh chóng và khốc liệt .
Sự kiện Zcash được nhiều người coi là khoảnh khắc bước ngoặt cho tiềm năng lưỡng dụng của AI trong an ninh phần mềm trọng yếu .
Giá trị của AI trong phòng thủ là rất rõ ràng. Một mô hình AI, kết hợp với sự chỉ đạo của chuyên gia con người, đã tìm ra một lỗi thảm khốc mà các kiểm toán viên đã bỏ lỡ suốt bốn năm – và làm điều đó chỉ trong một ngày kể từ khi mô hình ra mắt . Điều này chứng minh rằng AI tiên phong có thể cải thiện đáng kể tốc độ, chiều sâu và mức độ toàn diện của các cuộc kiểm toán bảo mật cho các hệ thống mã hóa phức tạp. Cuộc kiểm tra tiếp theo của Mythos đã "dọn sạch" phần còn lại của giao thức, cho thấy một tương lai nơi kiểm toán liên tục được điều khiển bởi AI trở thành thông lệ tiêu chuẩn cho các cơ sở hạ tầng quan trọng
.
Cách tiếp cận của Hornby – xây dựng một khung công cụ tác nhân tùy chỉnh thay vì chỉ đơn giản là đưa ra câu lệnh cho mô hình – cũng cho thấy rằng các ứng dụng phòng thủ mạnh mẽ nhất đến từ việc tích hợp AI vào các quy trình bảo mật có hệ thống, chứ không coi nó như một nhà tiên tri độc lập.
Hàm ý về mặt tấn công cũng rõ ràng không kém. Chính năng lực đã tìm ra lỗi này có thể bị các tác nhân xấu vũ khí hóa để khám phá và khai thác các lỗ hổng zero-day với tốc độ của máy móc . Nếu một nhóm mũ đen nào đó áp dụng các kỹ thuật tương tự vào Zcash trước các nhà nghiên cứu mũ trắng, họ đã có thể âm thầm tạo ra vô số tiền giả, rút cạn thanh khoản và biến mất – tất cả trước khi bất kỳ bản vá nào được triển khai.
Tờ Bloomberg mô tả sự kiện này cho thấy "mức độ nghiêm trọng của mối đe dọa từ việc AI bị sử dụng cho hack" . Bloomberg và các hãng tin khác lưu ý rằng vụ việc làm dấy lên những câu hỏi cấp bách về việc liệu các chuẩn mực công bố lỗ hổng có trách nhiệm hiện tại có còn phù hợp với tốc độ phát hiện lỗi của AI hay không
. Khi AI có thể tìm ra một lỗ hổng nghiêm trọng trong vài giờ, cánh cửa thời gian cho việc vá lỗi phối hợp trước khi bị khai thác với mục đích thù địch sẽ bị thu hẹp lại.
Các nhà nghiên cứu bảo mật cảnh báo đây không phải là một mối lo trên lý thuyết. Vụ việc Zcash là ví dụ đầu tiên được xác nhận công khai, nhưng gần như chắc chắn sẽ không phải là lần cuối cùng .
Có lẽ khía cạnh đáng lo ngại nhất của toàn bộ sự việc là sự không chắc chắn không thể giải quyết. Bởi Zcash là một đồng tiền ẩn danh, không có cách nào để chứng minh bằng mật mã liệu lỗ hổng này đã bị khai thác trong suốt bốn năm tồn tại của nó hay chưa . Đội ngũ phát triển đánh giá khả năng bị khai thác là "khó có thể xảy ra", nhưng họ thừa nhận rằng thực sự không thể xác nhận được điều đó
. Điều này tạo ra một vấn đề lòng tin lâu dài – không chỉ cho Zcash, mà cho bất kỳ hệ thống bảo vệ quyền riêng tư nào mà một lỗ hổng có thể đã bị âm thầm khai thác trước khi được phát hiện.
Sự kiện Zcash đánh dấu sự kết thúc của kỷ nguyên mà bảo mật giao thức mã hóa có thể chỉ dựa vào các cuộc kiểm toán thủ công định kỳ. Khám phá lỗ hổng với sự hỗ trợ của AI giờ đây đã là một năng lực được chứng minh, với tất cả sức mạnh bất đối xứng mà nó kéo theo.
Đối với các nhà phát triển giao thức, bài học rất rõ ràng: tích hợp các mô hình AI tiên phong vào quy trình rà soát bảo mật liên tục không còn là một lựa chọn – đó là điều bắt buộc, bởi các đối thủ chắc chắn cũng sẽ làm như vậy. Với cộng đồng AI, sự kiện này củng cố sự cần thiết phải triển khai các năng lực một cách thận trọng, khi chúng có thể dễ dàng bị tái sử dụng cho mục đích tấn công. Và với toàn bộ hệ sinh thái crypto, đây là một lời nhắc nhở nghiêm khắc rằng ngay cả những hệ thống được rà soát kỹ lưỡng nhất cũng có thể ẩn chứa những lỗ hổng thảm khốc mà một AI được dẫn đường có thể phát hiện ra chỉ trong vài giờ.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Vào tháng 5/2026, nhà nghiên cứu Taylor Hornby đã dùng Claude Opus 4.8 của Anthropic để phát hiện lỗi Zcash tồn tại từ 2022, có khả năng tạo ra tiền giả vô hạn và không thể bị phát hiện.
Vào tháng 5/2026, nhà nghiên cứu Taylor Hornby đã dùng Claude Opus 4.8 của Anthropic để phát hiện lỗi Zcash tồn tại từ 2022, có khả năng tạo ra tiền giả vô hạn và không thể bị phát hiện. Lỗ hổng này là một lỗi về tính đúng đắn trong mạch bằng chứng không kiến thức của bể giao dịch ẩn danh Orchard.
Đây là mốc son cho thấy bản chất lưỡng dụng của AI trong an ninh mạng: tăng tốc đáng kể cho kiểm toán phòng thủ nhưng đồng thời mở ra khả năng bị vũ khí hóa để khai thác lỗ hổng zero day.