前沿 AI 模型正越来越多地被研究人员用于识别覆盖浏览器、操作系统和开源平台的软件漏洞。本周,Zcash 开发者披露,Claude Opus 4.8 帮助发现了一项关键漏洞,该漏洞本可使攻击者铸造无限数量的 ZEC;该缺陷从 Orchard 在 2022 年 5 月启用时起一直存在,直到 2026 年 6 月 1 日部署了紧急修复。该技术在漏洞研究中的作用不断扩大,也引发了对这些能力被广泛获取的担忧,尤其是在加密货币和 DeFi 项目面临日益严峻的安全挑战之际,2026 年前五个月已被盗超过 8.4 亿美元。
AI 模型:从代码助手过渡到安全工具
早期的 AI 模型在职业场景中被当作代码助手使用,帮助开发者编写、解释和调试软件。从“代码助手”转变为“安全工具”,与 2025 年发布 Claude Code 后更广泛的转向相吻合,当时 Anthropic 报告称,其工程团队中的 AI 生成代码数量显著上升。
“AI 在审查代码方面比大多数人要强,而且还能找到其中潜在的漏洞,”ThreatLocker 的首席执行官兼联合创始人 Danny Jenkins 在接受 Decrypt 采访时表示。Jenkins 说,当前的 AI 系统已经在加速漏洞发现,而像 Mythos 这样的更新模型可能会大幅扩展这些能力。
Jenkins 表示,AI 正在降低漏洞研究的入门门槛,使更多人能够分析代码并识别薄弱环节。“AI 之前,网络安全威胁和利用每年都在增加,”他说。“AI 之后,它变得更快了,我认为有两个原因。第一,现在你可以用 AI 来帮助寻找漏洞和利用,而具备这种能力的人数已经大幅增长。”
公司部署 AI,用于跨多平台的漏洞发现
周二,Anthropic 扩大了对 Project Glasswing 的访问权限,让 150 家公司和机构能够使用 Claude Mythos,以帮助在模型更广泛发布之前识别并补救软件漏洞。
今年 4 月,Mozilla 披露称,Anthropic 的模型帮助识别了数百个在 Firefox 网络浏览器中修复的漏洞;同时,Calif 的研究人员在工作过程中使用了 Mythos Preview,从而产出最早面向苹果 M5 芯片的公开利用之一。
Aisle 是一家安全公司,由前 Google DeepMind 与 Anthropic 研究员 Stanislav Fort 创立并担任首席科学家;他在接受 Decrypt 采访时表示,对于 AI 驱动的漏洞发现所带来的担忧是有道理的,但常常被误解。“天真的回应是试图对强大模型的访问进行把关。我认为这本质上是通过晦涩来保障安全(security by obscurity),而通过晦涩来保障安全是该领域最糟糕的想法之一,”Fort 说。
今年 5 月,微软推出了 MDASH,这是一种代理式漏洞发现系统,公司称该系统帮助识别了先前未知的 Windows 漏洞。
Zcash 漏洞凸显 AI 对加密安全的影响
独立安全研究员 Taylor Hornby 披露,借助 Claude Opus 4.8 的帮助,他在 Zcash 的 Orchard 隐私池中发现了一项关键漏洞。该缺陷可能使攻击者创建无限数量的伪造 ZEC。
“该漏洞从 Orchard 于 2022 年 5 月启动之时就已存在,直到在 2026 年 6 月 1 日部署了紧急修复,”负责 Zcash 开发的组织 Shielded Labs 在一篇披露文章中写道。“由于 Orchard 的隐私特性以及该漏洞的性质,仅依靠密码学没有确定的方法来判断是否发生了上述利用。”
2026 年前五个月,超过 8.4 亿美元从 DeFi 项目中被盗,其中仅 4 月就有超过 6 亿美元,涉及对包括 KelpDAO 和 Drift Protocol 在内的项目的攻击。
Web3 安全平台 CertiK 的高级区块链调查员 Natalie Newson 表示,尽管 4 月对加密漏洞利用而言异常严峻,但更广泛的趋势仍然更稳定。“2026 年 4 月对加密利用来说是个糟糕的月份;只有三天没有出现至少拿走 1 万美元的漏洞利用,”她说。“不过从更宏观的角度来看,不包括钓鱼在内的事件数量可以说相当一致,而且仍然低于 2023 年的峰值。”
Blockaid 的 CTO Raz Niv 表示,更大的风险并不是 AI 取代黑客,而是放大他们的能力,使攻击者能够专注于更复杂的技术,同时由 AI 处理例行任务。“好消息是,防御者也可以使用相同的工具,”他说。“AI 辅助的监控与仿真正变得对安全团队保持节奏至关重要。”
常见问题(FAQ)
Claude Opus 4.8 帮助在 Zcash 中发现了什么漏洞?
Claude Opus 4.8 帮助独立安全研究员 Taylor Hornby 在 Zcash 的 Orchard 隐私池中发现了一项关键漏洞,该漏洞本可使攻击者铸造无限数量的伪造 ZEC。该漏洞从 Orchard 于 2022 年 5 月启动之时就已存在,直到在 2026 年 6 月 1 日部署了紧急修复。
2026 年前五个月有多少钱被盗自 DeFi 项目?
2026 年前五个月,超过 8.4 亿美元被盗自 DeFi 项目;其中仅 4 月就有超过 6 亿美元,涉及对包括 KelpDAO 和 Drift Protocol 在内的项目的攻击。
哪些公司正在部署 AI 模型用于漏洞发现?
周二,Anthropic 扩大了对 Project Glasswing 的访问权限,让 150 家公司和机构获得使用 Claude Mythos 的机会。Mozilla 在 4 月披露称,Anthropic 的模型帮助识别了数百个在 Firefox 中修复的漏洞。微软在 5 月推出了 MDASH,这是一种代理式漏洞发现系统,有助于识别此前未知的 Windows 漏洞。
