Моделі Frontier AI дедалі частіше використовують дослідники для виявлення вразливостей у програмному забезпеченні в різних браузерах, операційних системах і платформах із відкритим кодом. Розробники Zcash повідомили цього тижня, що Claude Opus 4.8 допоміг знайти критичну вразливість, яка могла б дозволити зловмиснику карбувати необмежену кількість ZEC: помилка була наявна з моменту активації Orchard у травні 2022 року до аварійного виправлення, розгорнутого 1 червня 2026 року. Зростаюча роль технології у дослідженнях вразливостей викликає занепокоєння щодо широкого доступу до цих можливостей, зокрема на тлі того, що крипто- та DeFi-проєкти стикаються з дедалі більшими проблемами безпеки: у перші п’ять місяців 2026 року вкрадено понад $840 мільйонів.
AI-моделі переходять від помічників у кодуванні до інструментів безпеки
Перші моделі ШІ професійно застосовували як помічників у кодуванні: вони допомагали розробникам писати, пояснювати й налагоджувати програмне забезпечення. Перехід від інструмента-асистента до засобу безпеки збігся з ширшою зміною після запуску Claude Code у 2025 році, коли Anthropic повідомила про різке зростання обсягів коду, згенерованого ШІ, у своїх інженерних командах.
«ШІ значно краще за більшість людей у перегляді коду та пошуку потенційних вразливостей», — сказав Danny Jenkins, CEO і співзасновник ThreatLocker, у розмові з Decrypt. Jenkins зазначив, що наявні системи ШІ вже пришвидшують виявлення вразливостей, а новіші моделі, зокрема Mythos, можуть суттєво розширити ці можливості.
Jenkins сказав, що ШІ знижує бар’єри входу для дослідження вразливостей, дозволяючи більшій кількості людей аналізувати код і знаходити слабкі місця. «До ШІ кіберзагрози та експлойти щороку зростали», — сказав він. «Після ШІ це стало ще швидше, і я думаю, що це швидше з двох причин. Одна — тепер ви можете використовувати ШІ, щоб допомогти знаходити вразливості й експлойти, і кількість людей, які мають змогу робити це, кардинально зросла».
Компанії впроваджують ШІ для виявлення вразливостей на кількох платформах
У вівторок Anthropic розширила доступ до Project Glasswing, надавши 150 компаніям і установам доступ до Claude Mythos, щоб допомагати виявляти та усувати вразливості програмного забезпечення до того, як модель буде випущено ширше.
У квітні Mozilla повідомила, що моделі Anthropic допомогли виявити сотні вразливостей, які вона виправила у веббраузері Firefox, а дослідники з Calif використовували Mythos Preview під час роботи, що призвела до одного з перших публічних експлойтів, націлених на чипи Apple M5.
Stanislav Fort, колишній дослідник Google DeepMind та Anthropic і нині засновник і головний науковець компанії з безпеки Aisle, повідомив Decrypt, що занепокоєння щодо виявлення вразливостей із використанням ШІ є слушними, але часто їх неправильно розуміють. «Наївна відповідь — спробувати обмежити доступ до потужних моделей. Я думаю, що це по суті безпека через невідомість, а безпека через невідомість — одна з найгірших ідей у цій сфері», — сказав Fort.
У травні Microsoft представила MDASH — агентну систему виявлення вразливостей, яку компанія описала як таку, що допомогла виявити раніше невідомі вразливості Windows.
Уразливість Zcash підкреслює вплив ШІ на безпеку крипто
Незалежний дослідник безпеки Taylor Hornby розкрив критичну вразливість в конфіденційнійному пулі Orchard у Zcash, яку він знайшов за допомогою Claude Opus 4.8. Вада могла б дозволити зловмиснику створити необмежену кількість підроблених ZEC.
«Вразливість була наявна з моменту активації Orchard у травні 2022 року до аварійного виправлення, яке було розгорнуто 1 червня 2026 року», — написала Shielded Labs, організація, що стоїть за розробкою Zcash, у публікації про розкриття. «Через властивості конфіденційності Orchard і характер багу, немає однозначного способу визначити, використовуючи лише криптографію, чи відбулося таке експлуатування».
Понад $840 мільйонів було викрадено з DeFi-проєктів у перші п’ять місяців 2026 року, зокрема понад $600 мільйонів лише в квітні — в атаках на проєкти, серед яких KelpDAO і Drift Protocol.
Natalie Newson, старша дослідниця блокчейну на платформі безпеки Web3 CertiK, сказала, що хоча квітень був незвично жорстким для експлойтів у крипто, загальний тренд залишається стабільнішим. «Квітень 2026 року був поганим місяцем для експлойтів у крипто; було лише три дні без експлойта, в якому щонайменше $10 000 забрали», — сказала вона. «Однак, якщо подивитися на ширшу картину, кількість інцидентів (за винятком фішингу) можна стверджувати, була доволі послідовною і все ще нижчою, ніж пік у 2023 році».
Raz Niv, CTO Blockaid, сказав, що більший ризик полягає не в тому, що ШІ замінить хакерів, а в тому, що він підсилить їх, дозволяючи атакувальникам зосередитися на більш складних техніках, тоді як ШІ виконуватиме рутинні завдання. «Хороша новина в тому, що захисники можуть використовувати ті самі інструменти», — сказав він. «Допоміжний ШІ моніторинг і симуляції стають необхідними для команд безпеки, які намагаються встигати».
FAQ
Яку вразливість допоміг знайти Claude Opus 4.8 у Zcash?
Claude Opus 4.8 допоміг незалежному досліднику безпеки Taylor Hornby виявити критичну вразливість у конфіденційнійному пулі Orchard у Zcash, яка могла б дозволити зловмиснику карбувати необмежену кількість підроблених ZEC. Вразливість була наявна з моменту активації Orchard у травні 2022 року до аварійного виправлення, яке було розгорнуто 1 червня 2026 року.
Скільки грошей було викрадено з DeFi-проєктів у перші п’ять місяців 2026 року?
Понад $840 мільйонів було викрадено з DeFi-проєктів у перші п’ять місяців 2026 року, зокрема понад $600 мільйонів лише в квітні — в атаках на проєкти, серед яких KelpDAO і Drift Protocol.
Які компанії впроваджують ШІ-моделі для виявлення вразливостей?
Anthropic розширила доступ до Project Glasswing у вівторок, надавши 150 компаніям і установам доступ до Claude Mythos. У квітні Mozilla повідомила, що моделі Anthropic допомогли виявити сотні вразливостей, які були виправлені у Firefox. У травні Microsoft представила MDASH — агентну систему виявлення вразливостей, яка допомогла ідентифікувати раніше невідомі вразливості Windows.
