2026年5月,保安研究員Taylor Hornby利用Anthropic新推出嘅Claude Opus 4.8,一日之內就搵到Zcash由2022年潛伏至今嘅「健全性漏洞」,理論上可以無限鑄造完全追蹤唔到嘅假幣。 漏洞出現喺Zcash嘅Orchard匿名交易池,負責驗證交易嘅零知識證明電路出現邏輯缺陷,令到假交易都可以通過檢查過骨。

Create a landscape editorial hero image for this Studio Global article: What role did Anthropic's AI models play in the discovery of a critical Zcash protocol vulnerability, what was the technical nature of the b. Article summary: Here is a comprehensive breakdown of the incident.. Topic tags: general, general web, user generated, news. Reference image context from search candidates: Reference image 1: visual subject "Multiple outlets, including The Block and Gizmodo, report that independent security researcher Taylor Hornby discovered a critical soundness bug in Zcash's Orchard shielded-pool ci" source context "Claude AI Exposes Critical Zcash Vulnerability | Let's Data Science" Reference image 2: visual subject "# A Controversial Altcoin Had Its Code Analyzed Using Anthropic’s State-of-the-Art AI Model – Founder Issues Statement. The founder of an altcoin that recently became the subje
2026年5月28日,Anthropic向公眾發布咗佢哋最新嘅AI模型Claude Opus 4.8。唔夠24個鐘,獨立保安研究員Taylor Hornby——受聘於Shielded Labs專門審計Zcash協議——就用呢個模型,搵到一個潛伏足足四年、一直冇人發現嘅致命漏洞 。發現之後,Zcash開發團隊緊急推出修復補丁、向公眾披露漏洞,然後市場就出現恐慌性拋售,ZEC幣值喺之後幾日蒸發咗大約四到五成
。成件事亦成為有紀錄以嚟,第一次有尖端大型語言模型(LLM)喺真實運行嘅零知識證明協議入面,搵到關鍵加密漏洞嘅案例
。
Taylor Hornby唔係就咁叫Claude Opus 4.8「同我搵晒啲Bug出嚟」。佢自己寫咗一套叫「Zcash Full-Stack Auditor」嘅自訂框架,利用模型嘅邏輯推理能力,有系統咁追蹤Zcash嘅Orchard匿名交易池電路邏輯 。呢個工具畀Hornby可以引導AI,針對用嚟保護Zcash私隱交易、建基於Halo2技術嘅複雜零知識證明系統進行分析。
喺5月29號,呢個框架搵到一個邏輯不一致嘅地方。而呢個邏輯漏洞,係自Orchard協議喺2022年5月上線以嚟,經歷過咁多次正式審計,都冇人類審計員發現到嘅 。Hornby並唔係淨係喺理論層面記錄個漏洞就算——佢利用AI輔助嘅方法,寫咗一個「實戰級」嘅攻擊程式,仲成功喺本地測試環境入面鑄造出假嘅ZEC代幣
。呢個發現速度之快——模型公開發布唔夠一日就搵到——突顯咗AI強化保安研究嘅能力,已經去到一個新嘅層次
。
有一點好重要要講清楚:呢次突破係一個熟練嘅人類專家,同一個尖端AI模型互相合作嘅成果。AI提供咗有系統嘅推理同跨越大規模程式碼庫嘅模式識別能力;而人類研究員就負責界定問題、建立審計框架,同埋驗證AI搵出嚟嘅結果 。
呢個漏洞係Orchard匿名交易池電路嘅「健全性」(Soundness)Bug,而Orchard正正係Zcash進行匿名交易嘅主要私隱機制 。喺零知識證明系統入面,「健全性」嘅意思係:攻擊者喺運算上應該冇可能為一個假嘅陳述,建立一個有效嘅證明。但Orchard電路入面有一個「約束不足」嘅元素,打破咗呢個基本規則。
具體啲講,喺Halo2嘅gadgets程式庫深處,有一個數值冇被「鎖定」去一個真實嘅基點(base point),變相令到數學上無效嘅輸入,都可以通過橢圓曲線嘅檢查 。講得簡單啲,即係一個負責驗證交易輸入嘅檢查機制,實際上並冇執行佢表面上應該有嘅規則
。結果係:攻擊者可以偽造有效嘅零知識證明,授權自己喺匿名池入面,憑空鑄造無限數量嘅假ZEC。
因為Orchard嘅交易本身就係匿名嘅,呢啲假幣喺區塊鏈上面,同真幣係完全冇分別,根本冇辦法分辨 。亦即係話,冇可能透過審計區塊鏈去發現嗰筆假嘅供應。呢個漏洞自2022年5月Orchard上線以嚟就一直存在,換句話講,佢潛伏咗接近四年都冇人察覺
。
更要命嘅係,由於Orchard嘅私隱特性,再加上漏洞本身嘅性質,Shielded Labs表明,冇任何加密技術方法可以確認,呢個漏洞喺過去四年入面,有冇俾人喺現實中利用過 。呢種「冇辦法證實」嘅不確定性,成為咗披露之後市場信心崩潰嘅核心原因。
Hornby向Zcash開放開發實驗室報告漏洞之後,團隊嘅反應極之迅速 :
Wilcox確認,修復補丁係喺向公眾公布之前成功部署嘅,即係話喺披露之後,冇已知嘅資金因為呢個漏洞而損失 。呢種「先修補,後披露」嘅協調方式,係跟返標準嘅漏洞管理慣例,但成件事要求嘅速度——由發現漏洞去到全網硬分叉,前後只係用咗三日——可以話係極之罕見。
緊急修復之後,Shielded Labs要求Anthropic用佢哋一個受限制嘅尖端模型「Mythos」,進行一次獨立嘅全協議審計。嗰次審計確認咗,截至2026年6月12日,協議入面冇其他關鍵漏洞 。呢次全面審查成功幫Zcash挽回部分市場信心,但嗰個核心問題——即係喺修復之前,個漏洞有冇俾人偷偷利用過——始終係一個冇人答得到嘅謎。
市場對6月4號嘅公開披露反應極之激烈。ZEC嘅價格喺之後幾日暴跌咗大約40%到50%,有報導形容,隻幣由「幾個禮拜前仲係遠高得多嘅水平」,直插進入咗自由落體模式 。多個消息來源都指出跌幅介乎31%到50%之間,最常被引用嘅幅度大約係四到五成
。
呢次拋售反映咗多方面嘅恐慌。首先,個漏洞嘅嚴重程度——喺一隻主流私隱幣入面可以無限、冇痕跡咁造假幣——徹底摧毀咗市場對Zcash協議安全保證嘅基本信任。第二,一個AI模型竟然搵到人類多年正式審計都走漏眼嘅缺陷,令人對其他加密貨幣(包括市值極大嘅以太坊)嘅漏洞風險,都產生咗令人不安嘅疑問 。第三,嗰種永遠冇辦法確認「漏洞係咪已經俾人利用過」嘅不確定性,留低咗一個單靠技術修復冇可能彌補嘅信任缺口
。
交易員重新審視呢個最主流私隱網絡之一嘅安全性,而市場隨之而嚟嘅重新定價,係又快又狠 。
Zcash事件被普遍視為AI喺關鍵軟件安全領域「雙面刃」潛力嘅分水嶺 。
防守價值係好明顯嘅。一個AI模型,配合人類專家嘅引導,竟然搵到人類審計員四年嚟都發現唔到嘅災難性漏洞——而且係喺模型推出唔夠一日之內就做到 。呢次示範咗,尖端AI可以大幅提升複雜加密系統保安審計嘅速度、深度同全面性。事後Mythos嘅審計清除了協議其他部分嘅嫌疑,更令人聯想到,喺未來,AI驅動嘅持續審計,或者會成為高風險基礎設施嘅標準指定動作
。
Hornby嘅做法——建立一套自訂嘅代理框架,而唔係淨係簡單咁向模型提問——亦都展示咗,最有威力嘅防守應用,係要將AI融入有系統嘅保安工作流程入面,而唔係當佢做一個獨立嘅神諭咁用。
攻擊層面嘅影響同樣咁震撼。同一套可以搵到呢個Bug嘅能力,一樣可以被惡意分子武器化,用機器嘅速度去發現同利用零日漏洞(Zero-day vulnerability) 。如果喺白帽研究員發現之前,有黑帽組織用類似嘅技術攻擊Zcash,佢哋可以神不知鬼不覺咁鑄造無限假幣、抽乾市場流動性,然後消失得無影無蹤——全部都可以喺任何修復補丁推出之前搞掂晒。
彭博將呢次事件形容為展示咗「AI黑客威脅嘅巨大程度」 。彭博同其他媒體都指出,呢次事件帶出咗一啲逼切嘅問題:現行嘅負責任披露準則,究竟能唔能夠應付AI速度發現嘅漏洞?當AI可以喺幾個鐘之內搵到致命缺陷,進行協調修補嘅時間窗口,就會喺惡意攻擊發生之前大幅收窄
。
保安研究員都提出警告,呢個唔係一個理論上嘅擔憂。Zcash事件係第一個被公開確認嘅案例,但幾乎可以肯定唔會係最後一個 。
成件事最令人困擾嘅地方,可能就係嗰種冇辦法解決嘅不確定性。因為Zcash係一隻私隱幣,冇任何加密學方法可以證明,呢個漏洞喺佢長達四年嘅生命週期入面,究竟有冇俾人利用過 。開發團隊判定「被利用嘅可能性唔大」,但佢哋都承認,自己確實冇辦法證實呢一點
。呢種情況造成咗一個持久嘅信任問題——唔單止係對Zcash,而係對任何私隱保護系統都一樣,因為一個缺陷可能喺被發現之前,已經俾人偷偷利用過。
Zcash事件標誌住一個時代嘅終結:單靠周期性嘅人類審計,去確保加密協議安全嘅日子已經過去。AI輔助漏洞發現,而家係一個已被證明嘅能力,隨之而來嘅係佢所隱含嘅所有「不對稱力量」。
對於協議開發者嚟講,啟示好清楚:將尖端AI模型融入持續嘅安全審查流程,已經唔再係一個選擇,而係一個必要動作,因為對手肯定都會咁做。對於AI社群嚟講,呢次事件再次強調咗,喺部署一啲好容易被轉化為攻擊用途嘅能力時,必須要深思熟慮。而對於更廣泛嘅加密貨幣生態系統,呢次係一個好 stark 嘅提醒:即使係經過最嚴格審查嘅系統,都可能隱藏住災難性嘅缺陷,而一個被善加引導嘅AI,係可以喺幾個鐘之內就將佢哋挖出嚟。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
2026年5月,保安研究員Taylor Hornby利用Anthropic新推出嘅Claude Opus 4.8,一日之內就搵到Zcash由2022年潛伏至今嘅「健全性漏洞」,理論上可以無限鑄造完全追蹤唔到嘅假幣。
2026年5月,保安研究員Taylor Hornby利用Anthropic新推出嘅Claude Opus 4.8,一日之內就搵到Zcash由2022年潛伏至今嘅「健全性漏洞」,理論上可以無限鑄造完全追蹤唔到嘅假幣。 漏洞出現喺Zcash嘅Orchard匿名交易池,負責驗證交易嘅零知識證明電路出現邏輯缺陷,令到假交易都可以通過檢查過骨。
呢次事件係AI喺網絡保安領域「雙面刃」特性嘅里程碑:一方面可以極速幫系統補鑊,另一方面亦展示咗同一套技術落入黑客手中,可以造成幾災難性嘅後果。