前緣 AI 模型正愈來愈多地被研究人員用於跨瀏覽器、作業系統以及開源平台識別軟體漏洞。本週,Zcash 開發者披露,Claude Opus 4.8 協助發現一項關鍵漏洞;該漏洞本可使攻擊者鑄造無限量的 ZEC,而該缺陷自 Orchard 在 2022 年 5 月啟用起存在,直到 2026 年 6 月 1 日部署緊急修復。該技術在漏洞研究中的角色不斷擴大,也引發對這些能力被廣泛取得的擔憂,尤其當加密與 DeFi 專案面臨日益嚴峻的安全挑戰時——2026 年前五個月已有超過 8.40 億美元遭竊。
AI 模型:從程式碼助理轉向資安工具
早期的 AI 模型是以專業方式被用作程式碼助理,協助開發者撰寫、解釋與除錯軟體。從程式碼助理轉變為安全工具,與 2025 年 Claude Code 上線後的更廣泛轉向同步展開,當時 Anthropic 報告其工程團隊中的 AI 生成程式碼數量大幅增加。
「AI 在審閱程式碼方面遠比多數人更強,且能找出其中潛在漏洞,」ThreatLocker 執行長兼聯合創辦人 Danny Jenkins 對 Decrypt 表示。Jenkins 說,目前的 AI 系統已在加速漏洞發現,而像 Mythos 這樣更新的模型,則可能大幅擴展這些能力。
Jenkins 表示,AI 正在降低漏洞研究的進入門檻,使更多人能分析程式碼並找出弱點。「AI 之前,網路安全威脅與漏洞利用每年都在增加,」他說。「AI 之後,變得更快了,而且我認為更快有兩個原因。第一,你現在可以用 AI 來協助找出漏洞與漏洞利用;而具備這種能力的人數已大幅成長。」
公司部署 AI 以在多平台進行漏洞發現
週二,Anthropic 擴大 Project Glasswing 的存取範圍,讓 150 家公司與機構取得 Claude Mythos,以協助在模型更廣泛釋出之前辨識並修復軟體漏洞。
4 月,Mozilla 披露稱,Anthropic 的模型協助辨識了數百個漏洞,並已在 Firefox 網頁瀏覽器中修復;此外,Calif 的研究人員在使用 Mythos Preview 進行工作時,產出了一個最早針對蘋果 M5 晶片的公開漏洞利用之一。
曾任 Google DeepMind 與 Anthropic 的研究員,現為資安公司 Aisle 創辦人兼首席科學家的 Stanislav Fort,對 Decrypt 表示,針對 AI 驅動的漏洞發現之疑慮是有其合理性,但常被誤解。「天真的反應是想把通往強大模型的存取權加上門檻管理。我認為這本質上是以不透明來做安全,而以不透明來做安全是該領域最糟糕的想法之一,」Fort 說。
5 月,Microsoft 推出了 MDASH,一套具代理性的漏洞發現系統;該公司表示,這有助於辨識過去未知的 Windows 漏洞。
Zcash 漏洞凸顯 AI 對加密安全的影響
獨立資安研究人員 Taylor Hornby 披露,Zcash 的 Orchard 隱私池中存在一項關鍵漏洞;他是在 Claude Opus 4.8 的協助下發現該漏洞。該漏洞本可使攻擊者建立無限量的偽造 ZEC。
「該漏洞自 Orchard 於 2022 年 5 月啟用起存在,直到 2026 年 6 月 1 日部署緊急修復,」負責 Zcash 開發的組織 Shielded Labs 在一篇披露貼文中寫道。「由於 Orchard 的隱私特性以及該漏洞的本質,僅使用密碼學並無法確定是否發生了這種利用。」
2026 年前五個月,已有超過 8.40 億美元從 DeFi 專案中遭竊;其中僅 4 月就有超過 6 億美元,涉及對包括 KelpDAO 與 Drift Protocol 在內的專案發動的攻擊。
Web3 資安平台 CertiK 的資深區塊鏈調查員 Natalie Newson 表示,雖然 4 月對加密漏洞利用而言格外嚴重,但更整體的趨勢仍較為穩定。「2026 年 4 月是加密漏洞利用的糟糕月份;只有三天沒有發生漏洞利用,且至少有 10,000 美元被拿走,」她說。「不過,若放眼更宏觀的情況,事件數(不含釣魚)可以說相當一致,且仍低於 2023 年的高峰。」
Blockaid 的 CTO Raz Niv 表示,更大的風險並非 AI 取代駭客,而是放大他們,讓攻擊者能專注於更複雜的技術,而 AI 處理例行任務。「好消息是,防禦者也能使用相同的工具,」他說。「對於試圖跟上步伐的資安團隊而言,AI 輔助的監控與模擬正變得不可或缺。」
FAQ
Claude Opus 4.8 協助在 Zcash 中發現了哪種漏洞?
Claude Opus 4.8 協助獨立資安研究人員 Taylor Hornby 在 Zcash 的 Orchard 隱私池中發現一項關鍵漏洞;該漏洞本可使攻擊者鑄造無限量的偽造 ZEC。該漏洞自 Orchard 於 2022 年 5 月啟用起存在,直到 2026 年 6 月 1 日部署緊急修復。
2026 年前五個月,從 DeFi 專案中被偷走了多少錢?
2026 年前五個月,從 DeFi 專案中遭竊超過 8.40 億美元;其中僅 4 月就有超過 6 億美元,涉及對包括 KelpDAO 與 Drift Protocol 在內的專案發動的攻擊。
有哪些公司正在部署 AI 模型來進行漏洞發現?
週二,Anthropic 擴大 Project Glasswing 的存取範圍,讓 150 家公司與機構取得 Claude Mythos。Mozilla 於 4 月披露,Anthropic 的模型協助辨識了數百個漏洞,並已在 Firefox 中修復。Microsoft 於 5 月推出 MDASH——一套具代理性的漏洞發現系統,協助辨識先前未知的 Windows 漏洞。
