Заголовок: ИИ суперзаряжает охоту на баги — и крипта только что получила резкое напоминание, когда Zcash исправил критическую уязвимость Введение: Новейшие модели ИИ больше не просто чат-боты или помощники по кодированию — это мощные аудиторские движки, которые могут обнаруживать глубокие, давние программные ошибки. Эта способность только что коснулась крипты: независимый исследователь, использующий Claude Opus 4.8 от Anthropic, обнаружил критический баг в приватном пуле Orchard Zcash, который мог позволить создать неограниченное количество поддельных ZEC. Это открытие — и неопределенность относительно того, была ли уязвимость когда-либо использована — обрушило цену ZEC и подчеркивает более широкую проблему безопасности для открытого кода крипты и DeFi. Что произошло с Zcash - Исследователь Тейлор Хорнби использовал Claude Opus 4.8, чтобы найти уязвимость в защищенном пуле Orchard Zcash. Баг датируется активацией Orchard в мае 2022 года и был исправлен 1 июня 2026 года. - Группа разработчиков Zcash, Shielded Labs, предупредила, что из-за дизайна приватности Orchard и природы уязвимости, криптография сама по себе не может доказать, было ли когда-либо создано поддельное ZEC — оставляя неприятно открытый вопрос, который напугал рынки. - Раскрытие вызвало резкое падение цены ZEC, когда инвесторы осмыслили риск. Почему ИИ меняет исследование уязвимостей - Модели раннего поколения использовались в основном как помощники по кодированию. По мере улучшения моделей (Claude Code от Anthropic в 2025 году стал поворотным моментом), команды перешли от предложений к написанию и выполнению кода, и исследователи начали использовать эти системы для автоматизированного обзора кода, аудита и разработки эксплойтов. - Специалисты по безопасности утверждают, что ИИ значительно ускоряет процесс обнаружения. Дэнни Дженкинс, гендиректор ThreatLocker, сказал Decrypt, что современные системы могут опережать большинство человеческих рецензентов и снижают барьер для входа в исследование уязвимостей — что означает, что больше людей могут находить и использовать уязвимости. - Сам Anthropic продвигает случаи использования для безопасности: проект Glasswing недавно предоставил Claude Mythos доступ к 150 компаниям и учреждениям, чтобы помочь находить и исправлять уязвимости до более широкого релиза. Прецеденты из реальной жизни - Mozilla признала, что модели Anthropic помогли найти и исправить сотни уязвимостей Firefox. - Некоторые исследователи использовали Mythos Preview в работе, которая привела к созданию одного из первых публичных эксплойтов для чипов Apple M5. - Microsoft в мае представила MDASH, агентную систему, которая, по ее словам, помогла выявить ранее неизвестные уязвимости Windows. Дилемма защитника против нападающего - Некоторые эксперты утверждают, что блокировка передовых моделей не является решением. Станислав Форт (ранее из DeepMind и Anthropic, сейчас в Aisle) предупредил, что способность к обнаружению нулевых дней уже распределена среди многих моделей; ограничение доступа к передовым моделям только задерживает нападающих, одновременно ослабляя защитников. - Реальная опасность может заключаться в дисбалансе: нападающие получают доступ к продвинутому ИИ, в то время как поддерживающие открытый код и защитники отстают. Форт выступает за демократизацию защитных ИИ-инструментов, чтобы защитники могли использовать такую же мощь, как и нападающие. Влияние ИИ на крипту и DeFi - Блокчейны и DeFi являются высокоценными, открытыми целями: больше денег и публичного кода делают их привлекательными для автоматизированной охоты на баги — как доброй, так и злонамеренной. - Пример Zcash иллюстрирует, как открытие с помощью ИИ может подвергнуть многолетний код немедленному риску. - DeFi уже понесла тяжелые потери в этом году: более 840 миллионов долларов украдено за первые пять месяцев 2026 года, включая более 600 миллионов долларов только в апреле (знаменитые жертвы включают KelpDAO и Drift Protocol). - "Вайб-хак" — нападающие, использующие ИИ-агентов для автоматизации рекогносцировки, кражи учетных данных, вредоносного ПО и многого другого — снижает порог навыков для сложных кибератак. Вместо того чтобы заменять хакеров, ИИ усиливает их, позволяя нападающим автоматизировать рутинные задачи и сосредотачиваться на более ценных эксплойтах. Выводы для отрасли - Защитники могут и должны использовать те же инструменты ИИ. Раз Нив, технический директор Blockaid, отмечает, что мониторинг и симуляция с помощью ИИ становятся необходимыми для команд безопасности, пытающихся успевать за изменениями. - Краткосрочный прогноз: ожидайте больше высокопрофильных открытий (и раскрытий) в ближайшие недели и месяцы, поскольку продвинутые модели распространяются и становятся более доступными. - Долгосрочная перспектива: отрасли необходимо более широкое распределение защитных возможностей ИИ, улучшение практик безопасной разработки и более быстрые, скоординированные реакции на раскрытия — особенно в системах, ориентированных на приватность, где эксплуатации могут быть неотслеживаемыми. Итог: Передовой ИИ — это обоюдоострое оружие для крипты. Он может выявлять критические баги, которые пропустили человеческие рецензенты — помогая укрепить системы — но также ускоряет время, за которое нападающие находят и эксплуатируют уязвимости. Инцидент с Zcash является сигналом тревоги: проекты, аудиторы и команды безопасности должны принять мощные защитные инструменты и обновить процессы, прежде чем открытие уязвимостей с помощью ИИ станет рутиной. Читайте больше новостей, созданных ИИ, на: undefined/news