2026年5月,安全研究员Taylor Hornby利用Anthropic新发布的Claude Opus 4.8,在24小时内发现了Zcash Orchard隐私池中的一个关键漏洞,理论上可被用来无限制、无痕地铸造假币。 该漏洞是一个存在于Zcash零知识证明电路中的“可靠性”缺陷,自2022年Orchard池上线以来一直未被发现,直到AI辅助审计才被曝光。

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
2026年5月28日,Anthropic向公众发布了其最新的Claude Opus 4.8模型。仅在24小时内,受Shielded Labs委托审计Zcash协议的独立安全研究员Taylor Hornby,便利用该模型发现了一个已存在长达四年的关键漏洞。这一发现引发了一系列连锁反应:紧急补丁部署、公开披露,以及一场让ZEC市值蒸发约40–50%的市场暴跌
。这起事件也是首个公开证实的前沿大语言模型在生产环境的零知识协议中发现关键密码学漏洞的案例
。
Taylor Hornby并非简单地要求Claude Opus 4.8去“找漏洞”。他构建了一个名为“Zcash Full-Stack Auditor”的定制框架,利用模型的推理能力,系统性地追踪Zcash的Orchard隐私池电路逻辑。该工具使Hornby能够将AI的分析能力引导到保障Zcash隐私交易安全的、复杂的Halo2零知识证明系统上。
5月29日,该框架发现了一个逻辑不一致问题,这个缺陷自Orchard池于2022年5月激活以来,历经多次正式人工审计都未被发现。Hornby不仅记录了理论上的漏洞,他还在AI辅助下编写了一个可以在本地测试环境中成功铸造假币(ZEC)的有效攻击代码
。在模型公开发布后一天内就能取得如此成果,突显了AI增强型安全研究能力的一次阶跃式变化
。
需要强调的是,这次突破是顶尖人类专家与前沿AI模型协作的成果。AI在海量代码库中提供了系统性的推理和模式识别能力;而人类研究员则负责定义问题、构建审计工具并验证发现。
该漏洞是Zcash用于隐私交易的主要机制——Orchard隐私池电路中的一个关键“可靠性”缺陷。在一个零知识证明系统中,“可靠性”意味着在计算上不可能为虚假陈述创建一个有效的证明。Orchard电路包含了一个约束不足的元素,破坏了这一属性。
具体来说,漏洞位于Halo2 gadgets代码库深处的一个值脱离了真实的基准点(base point),这实际上允许数学上无效的输入通过椭圆曲线检查。通俗地说,一个本应用来验证交易输入的检查机制,并未强制执行它表面上应有的规则
。结果是,攻击者可以伪造有效的零知识证明,授权在隐私池中创建数量不受限制的假币(ZEC)。
由于Orchard交易在设计上就是隐私的,这些假币在链上将与合法币无法区分,也就是说,无法通过审计区块链来发现“无中生有”的供应量。这个漏洞自Orchard池于2022年5月上线以来就一直存在,意味着它在未被察觉的情况下存留了大约四年
。
极其关键的一点是,Shielded Labs表示,由于Orchard的隐私属性和漏洞的性质,没有任何密码学方法可以确定该漏洞是否曾在真实环境中被利用过。这种不确定性成为了漏洞披露后市场焦虑的核心来源。
当Hornby将漏洞报告给Zcash开放开发实验室后,响应非常迅速:
Wilcox确认,补丁在公开宣布前已成功部署,因此信息披露后没有已知的资金因漏洞利用而损失。这种“先修补,后披露”的协调做法遵循了标准漏洞管理流程,但其速度之快(从发现到全网硬分叉仅用三天)是非同寻常的。
紧急修复后,Shielded Labs请求Anthropic使用其受限的前沿模型Mythos对整个协议进行一次独立的安全审计。该审计于2026年6月12日确认,协议中不存在其他关键漏洞。这次全面审查部分恢复了市场信心,尽管关于补丁前是否已发生漏洞利用的核心不确定性依然存在。
市场对6月4日的公开披露反应剧烈。ZEC的价格在随后的几天里下跌了约40–50%,有报道称该代币从“几周前还远高于此的水平”进入了螺旋式下跌。多个消息来源提及的跌幅在31%至50%之间,最常被引用的幅度约为40–50%
。
这次抛售反映了多方面的恐慌。首先,漏洞的严重性本身——在一个主流隐私币中进行无限量、无法检测的伪造——动摇了对协议安全保障的基本信任。其次,一个AI模型发现了多年人工形式化审计都未能发现的缺陷,这一事实引发了关于其他加密货币(包括以太坊)潜在漏洞攻击面的不安问题。第三,关于该漏洞是否已被利用的永久不确定性,留下了一个仅靠技术修复无法弥合的信任赤字
。
交易员们重新评估了加密货币领域最知名隐私网络之一的安全性,并进行了迅速而剧烈的重新定价。
Zcash事件被广泛视为AI在关键软件安全领域双重用途潜力的一个分水岭时刻。
防御价值显而易见。一个AI模型,在人类专家指导下,发现了一个人类审计师四年都未察觉的灾难性漏洞——并且在模型发布一天内就做到了。这证明,前沿AI可以极大提高对复杂密码学系统进行安全审计的速度、深度和完整性。随后Mythos模型对协议其余部分进行的审计,也暗示了一个未来:由AI驱动的持续审计将成为高风险基础设施的标准做法
。
Hornby的方法(构建一个定制的智能体框架,而非简单地提示模型)也表明,最强大的防御应用来自于将AI集成到系统化的安全工作流程中,而不是将其视为一个独立的预言机。
攻击层面的影响同样严峻。能发现此漏洞的相同能力,也可能被恶意行为者武器化,以机器速度发现和利用零日漏洞。如果是一个黑帽组织抢在白帽研究员之前将类似技术应用于Zcash,他们可能已经悄无声息地铸造了无限量的假币,耗尽流动性,然后消失无踪——这一切都发生在任何补丁部署之前。
彭博社将此事件描述为展现了“AI黑客威胁的巨大程度”。彭博社和其他媒体指出,该事件引发了一个紧迫的问题:当前的“负责任披露”规范是否需要针对AI速度发现的漏洞进行重新校准
。当AI能在几小时内发现一个关键缺陷时,在恶意利用发生前进行协调修补的窗口期就急剧缩小了。
安全研究人员提醒,这并非理论上的担忧。Zcash事件是首个公开证实的例子,但几乎可以肯定不会是最后一个。
整个事件中最令人不安的,或许是那种无法解决的、永久的不确定性。由于Zcash是一种隐私币,无法用密码学方法证明该漏洞在其存在的四年中是否曾被利用过。开发团队判断被利用的可能性“不大”,但他们承认无法对此进行确认
。这造成了一个持久的信任问题——不仅是对Zcash,也是对任何可能在漏洞被发现前就被悄悄利用的隐私保护系统。
Zcash事件标志着密码学协议安全仅依赖周期性人工审计的时代终结。AI辅助的漏洞发现能力如今已得到了实际验证,随之而来的还有其非对称的力量。
对于协议开发者来说,其含义很明确:将前沿AI模型整合到持续的安全审查流程中不再是可选项,而是一项当务之急,因为对手们肯定会做同样的事。对于AI社区而言,此次事件强化了需要深思熟虑地部署那些极易被转用于攻击目的的能力。而对更广泛的加密生态系统来说,它作为一个严峻的提醒,说明即使是最严格审查过的系统,也可能隐藏着一个定向明确的AI能在数小时内发现的灾难性缺陷。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026年5月,安全研究员Taylor Hornby利用Anthropic新发布的Claude Opus 4.8,在24小时内发现了Zcash Orchard隐私池中的一个关键漏洞,理论上可被用来无限制、无痕地铸造假币。
2026年5月,安全研究员Taylor Hornby利用Anthropic新发布的Claude Opus 4.8,在24小时内发现了Zcash Orchard隐私池中的一个关键漏洞,理论上可被用来无限制、无痕地铸造假币。 该漏洞是一个存在于Zcash零知识证明电路中的“可靠性”缺陷,自2022年Orchard池上线以来一直未被发现,直到AI辅助审计才被曝光。
此次事件是AI在网络安全领域双重用途的里程碑式展示:它既可以极大加速防御性审计,也显示了同样的能力可被用于武器化,以机器速度进行零日漏洞利用。